Kommentare zu folgendem Beitrag: Clubhouse: 3,8 Milliarden Handynummern erbeutet?
Clubhouse unterschlägt hier einige Fakten. In der App nutzen die amplitude.com zur Analyse und über diesen „Tracker“ wurden, aus meiner Sicht, die Daten abgegriffen.
Über die keweonDNS Server sind diese Tracker blockiert, aber es zeigt deutlich, dass der Datenschutz durch diese Tracker- und Analysefirmen so von vielen Unternehmen umgangen wird.
Das kommt davon wenn deutsche Datenschützer sich um sowas kümmern. Hätten die nur etwas Ahnung von dem was sie tun sollen, dann wäre das sofort aufgefallen. Ich hab das nach dem Installieren von Clubhouse sofort gesehen und entsprechend gefiltert.
- Mich würde ja mal brennend interessieren, ob das un nur eine Vermutung deinerseits war, oder ein bewiesener Zustand?? Mir entschließt sich dabei nämlich kein Stück, was die Analyse-Firma davon hätte? Sie verdient doch einen Haufen Kohle mit der Datenanalyse - für die losen Telefonnummern würden die doch nur ein Minimum bekommen! Und wenns jemand aus deren Umfeld war, der die dabei beschissen hat, dann hätten die den Leak bestimmt zu verhindern gewusst!!..
Einer der Clubhouse-Entwickler, seia-soto, hat auf seinem Github-Account https://github.com/seia-soto/clubhouse-api wo er mit der Entwicklung von → „The private API client for clubhouse, drop-in audio chat“ beschäftigt ist, folgendes Tutorial zur freien Community-Verfügung gestellt → https://github.com/seia-soto/clubhouse-api#reverse-engineering
- Ich finde es noch viel geiler, dass man die komplette Clubhouse-Plattform mit nem ollen genudelten eiPhone hacken (Reverse-Engineering) kann
Clubhouse - Reverse Engineering:
To reverse engineer Clubhouse audio chat application, only thing we need is jailbroken device. Because there is nothing else except for SSL certificate pinning and we can bypass it even on iOS 14 which is the latest release of iOS by installing some tweaks.
Jailbreaking:
Use Odyssey, if you’re on iOS 13.6 or higher.
To jailbreak, I recommend you to use Unc0ver instead of others due to stability. Setup AltServer on your PC or Mac and then install Unc0ver
iOS 14:
You’re not able to use checkm8 exploit if you’re on iPhone 11 or higher (higher than A11).
If you’re on iOS 14 or higher version, use Checkra1n version 0.12.1 to jailbreak. This this time, you need to disable your iPhone’s passcode manually before jailbreaking. Also, DO NOT USE LATEST RELEASE of checkra1n to avoid issue on A11.
Post installation:
If you install OpenSSH server to debug on remote PC, you need to CHANGE BOTH root AND mobile USER’S PASSWORD.
passwd root
passwd mobile
Setting up MITM proxy:
You can set up MITM proxy with following tools:
Fiddler, download directly (Windows).
MITM Proxy, download directly (Windows).
Install toolchains and follow steps to decrypt HTTPS traffics:
Fiddler:
You need to configure fiddler via the official guide.
MITM Pro:
If you’ve setup MITM proxy, open http://mitm.it on your iPhone, then install certificate.
Bypassing SSL Pinning:
To inspect HTTP packet, there are ways to bypass it easily.
ssl-kill-switch:
Install required updates from Cydia for security reasons and install Filza File Manager or terminal emulator to install package file manually. Open following repo and download latest release from it. If you touch share button and then share the file to filza, you can directly install package file.
nabla/ssl-kill-switch2
After installation, turn it on in settings app.
frida-ios-hook:
Install iTunes and Python3 on your PC and open iTunes after install. Connect to your iPhone shell via methods described in Wireshark remote debugging section. Clone following repository to some directory:
noobpk/frida-ios-hook
After, all things are ready, run script via following command:
python3 hook.py -n clubhouse -s frida-scripts\bypass-ssl-ios13.js
The script also works on iOS 14.
Wireshark remote debugging:
By piping stream over SSH, you can also debug your iPhone’s traffic with wireshark installed on PC. Before doing this, install OpenSSH and tcpdump tweak on your iPhone and install Wireshark on your PC.
You may add following paths to system wide environment variable:
C:\Program Files\Wireshark
After setting up itunnel-mux or 3uTools from below, open new command line window and start debugging with built-in ssh on Windows 10.
ssh root@localhost -p 2222 -l root tcpdump -s 0 -U -n -w - -i any not port 22 | wireshark -k -i -
itunnel-mux:
Download itunnel_mux_rev71.zip from following webpage and add it to path. At this time, you should install iTunes and Apple Mobile Support before continuing.
Google Code Archive/iphonetunnel-usbmuxconnectbyport
Open it and start proxy after connecting iPhone.
itunnel_mux --iport 22 --lport 22
3uTools:
Also, you can do this easier with 3uTools which only available on Windows. Download and install it to your PC and connect iPhone via USB. Then you can go to Toolbox tab and click Open SSH Tunnel to open SSH port locally.
===================================================================================
Hier kann man nochmals genau nachverfolgen, wie billig die Clubhouse-Source eigentlich aufgebaut ist…!
https://documenter.getpostman.com/view/2651915/TzCQa6Wx#de415599-e742-4a43-aeae-3138d99d0678
Jemand in unserer Telegram Gruppe stellte gestern eine wirklich gute Frage:
Da man die Daten ja sowieso zusammentragen kann, wenn auch mit Hilfsmitteln, wäre der Kauf des Datensatzes überhaupt illegal?
Eine Uta Schwarner von der Hamburger PR-Agentur GOLIN schrieb uns an:
Liebe Redaktionspartner, wir haben Ihren Artikel gesehen zu der angeblichen Sicherheitslücke bei Clubhouse. Wir unterstützen Clubhouse als PR Agentur.
Ich denke, dass Sie an dem Statement des Unternehmens zu dem Thema interessiert sind:
„Es gab keinen Datenleak bei Clubhouse. Es gibt eine Reihe von Bots, die Milliarden von zufälligen Telefonnummern generieren. Für den Fall, dass eine dieser zufälligen Nummern aufgrund eines mathematischen Zufalls auf unserer Plattform existiert, gibt die API von Clubhouse keine benutzeridentifizierbaren Informationen zurück. Datenschutz und Sicherheit sind für Clubhouse von größter Bedeutung und wir investieren weiterhin in branchenführende Sicherheitspraktiken. Clubhouse verwendet keine Cookies und verkauft keine persönlichen Daten an Dritte.“
Beste Grüße, Uta Schwaner
wir die menschheit einfach immer dümmer oder stehen die darauf, ausgeschnüffelt und abgezockt zu werden???
Ich schätze mal, dass beides der Fall ist…
Nein, ich denke die Menschen waren immer gleich „dumm“ und nicht minder unbesorgt. Abgeschnüffelte Daten riechen, schmecken nicht. Und leider tun sich einem auch nicht weh, das ist das wahre Problem. Erst wenn es zu spät ist (Stichwort Identitätsdiebstahl) wachen die Leute auf und werden evtl. sorgsamer, was ihre Daten betrifft.
Es gbt aber Studien, die etwas anderes aussagen! Zum Beispiel…
https://ec.bioscientifica.com/view/journals/ec/7/4/EC-18-0029.xml?body=fullHtml-10001
Könnte man ja mal drüber nachdenken…?
Der IQ hat auch viel mit Bildung bzw. mangelnder Bildung zu tun. Ich könnte mir vorstellen, da liegt der Hase im Pfeffer. Und was wird sich durch große Daten-Skandale ändern? Richtig, nichts. Das ist leider die traurige Wahrheit.
Tja, wenn der IQ mit jedem extra Schuljahr steigt, müsste das für die Wiederholer ja sehr von Vorteil sein
Aber im Ernst. Es ist schon erschreckend zu sehen, mit wie wenig Wissen die heutigen Realschulabgänger oder Gymnasiasten ausgestattet werden. Ich habe mal einem Nachbars-Jungen ein bisschen bei den Schulaufgaben über die Schulter gesehen. Der hat Sachen gelernt, die bei uns schon zwei Jahre vorher kamen.
IQ hin oder her. Solange man den Betroffenen aufgrund ihrer mangelnden Vorsicht nicht in die Brieftasche greift, und das ist wortwörtlich gemeint, werden sie wahrscheinlich nie lernen, wie wichtig Datenschutz ist.
So siehts aus! Hinzu kommt ja aktuell auch noch, dass die sowieso schon schlechte Schulausbildung, durch die letzten 2 Jahre des corona-bedingten Ausfalls, nochmals schlechter wird…
und corona ist noch nicht vorbei! da stehen uns also keine so rosigen zeiten bevor?