Video-Chat-Sicherheit: Wer ist in Ihrer Houseparty?

Veröffentlicht April 1^st, 2020 — Aktualisierte über eine Woche her

Durch

Video-Chat-Apps wie Houseparty haben in den letzten Monaten einen deutlichen Anstieg der Nutzer verzeichnet, da Menschen auf der ganzen Welt mehr Zeit zu Hause verbringen und mehr mit ihren Freunden und Kollegen online interagieren. Wenn Unternehmen so schnell wachsen, kann ihr Benutzerschutz oft ins Hintertreffen geraten. Langjährige Kommunikations-Apps, die in Plattformen wie WhatsApp, iMessage und FaceTime integriert sind, sind in der Regel robust, da sie von Milliarden von Benutzern verwendet werden und daher viel geprüft und getestet wurden.

Kleinere, neuere Videoplattformen wurden nicht auf diese Weise untersucht, und in letzter Zeit wurde die Sicherheit der Verwendung einiger Video-Apps in Frage gestellt. Wir haben bereits ausführlich darüber geschrieben, wie Unternehmen Ihre Daten legal sammeln , wie Sie online sicher bleiben und welche Schritte Sie unternehmen müssen, wenn Ihre Konten verletzt werden . In diesem Beitrag werde ich einen kurzen Blick auf Houseparty werfen, die Risiken, die mit der Verwendung verbunden sind, und was Sie in einfachen Schritten tun können, um zu vermeiden, dass Sie etwas teilen, das Sie lieber privat halten möchten.

Houseparty auf den Punkt gebracht

Houseparty stiehlt Ihre Daten nicht und es gibt keine Hinweise auf einen Verstoß
Trotz einer Altersfreigabe des App Store von „12+“ setzt Houseparty minderjährige Benutzer mehr als 18 Inhalten aus. Quizfragen behandeln Drogenkonsum, Sex und Fluchen
Im Gegensatz zu FaceTime oder WhatsApp besitzt Houseparty effektiv alle Inhalte, Ideen oder Know-how, die über den Service ausgetauscht werden
Benutzer sollten aufpassen: Die App verfolgt eine überraschende Menge an Benutzerdaten
Das Unternehmen bietet eine Prämie von 1 Mio. USD an, um jemanden zu finden, der sie diskreditiert, muss jedoch noch eine Richtlinie zur verantwortungsvollen Offenlegung veröffentlichen
Die Bedingungen von Houseparty scheinen nicht GDPR-konform zu sein und erkennen Safe Harbor nicht an

4 Risiken, denen alle Benutzer ausgesetzt sind: Datendiebstahl, Oversharing oder Nachverfolgung von Daten sowie schwache Sicherheit

Generell gibt es vier Risiken, denen Benutzer durch die Verwendung solcher Video-Apps ausgesetzt sind:

Unangemessener Inhalt und schwache Kindersicherung.
Vorsätzlicher und illegaler Datendiebstahl direkt von der App-Firma.
Absichtliches Teilen oder Verfolgen von Daten, die legal, aber oft unerwartet sind .
Andere Personen, die durch Nachlässigkeit bei der App-Sicherheit oder durch Hacks, die als Folge einer schwachen App-Sicherheit durchgeführt werden, auf Ihre persönlichen Daten zugreifen.

Werfen wir einen Blick auf die Wahrscheinlichkeit, dass jedes dieser Ereignisse auftritt.

Die Homepage von Houseparty vermarktet die App als soziales Netzwerk, es fehlen jedoch die Kindersicherungsfunktionen, die Benutzer von einem sozialen Netzwerk vernünftigerweise erwarten können. Der Werbetext der App im Google Play Store beschreibt sie als "wirklich das nächstbeste, um persönlich abzuhängen". Das ist fast wahr: Für Kinder, die Houseparty verwenden, ist die App wie ein persönliches Abhängen, aber mit einer gruseligen älteren Person, die ihnen Fragen zum Sex stellt.

Bei der Anmeldung bei Houseparty müssen alle Benutzer ihr Geburtsdatum angeben. Die App hält diese Informationen während der Ausführung bereit: Sie sendet das Geburtsdatum des Benutzers an die Tracking-Produkte, die die App regelmäßig verwendet. Das neueste Feature von Houseparty - und der Kern ihrer Monetarisierungspläne - ist eine Reihe integrierter Tests, bei denen das Alter der Benutzer nicht berücksichtigt wird.

Bei der Auswahl eines Quiz zum Spielen wird allen Benutzern dieselbe Liste von Quiz angezeigt, wobei das Quiz mit mehr als 18 Slang-Begriffen das dritte auf der Liste ist - selbst für minderjährige Benutzer. Wir meiden Inhalte für Erwachsene in diesem Blog, damit wir nicht auf Einzelheiten eingehen. Die Quizfragen enthalten jedoch eine Reihe von zutiefst kinderunfreundlichen Inhalten mit Themen wie Abkürzungen für profane Phrasen, was in Strip-Clubs wirklich passiert, Drogenreferenzen von Heroin bis Marihuana und verschiedene Beschreibungen von Geschlecht und Genitalien. Oh, und es gibt auch einige Jeffrey Dahmer-Inhalte.

Playing Houseparty with an < 18 account (purple annotations ours), a mild example — Houseparty mit einem <18-Account spielen (lila Anmerkungen bei uns), ein mildes Beispiel

Die Houseparty-App ist im App Store von Apple als für „12+“ geeignet und die Werbung im Play Store von Google als für „Teen“ geeignet . Die App verfügt über keine integrierte Kindersicherungsfunktion.

Viele Eltern sind zu Recht besorgt darüber, wem ihre Kinder online und in Apps ausgesetzt sind, und eine Reihe von Websites überprüfen Apps und bieten diese Anleitung an. In Großbritannien bietet das gemeinnützige Internet Matters einen solchen Service mit Unterstützung von BT, Sky und anderen an. Die Organisation fördert derzeit stark ihre Leitlinien zu Houseparty und erklärt, dass die Zusammenarbeit mit Industrie, Regierung und Schulen, um diese Leitlinien bereitzustellen.

Dienste wie diese sind eine wichtige Ressource für Eltern, aber im Fall von Internetangelegenheiten scheint es, dass wenig oder keine Due Diligence durchgeführt wurde. Ihre Ratschläge für Eltern sind äußerst begrenzt und halten sich weitgehend an eine allgemeine Warnung vor der Gefahr durch Fremde in Videos, die mit einem Aufruf an die Eltern endet, die App herunterzuladen.

Internet Matters’ guidance for parents on Houseparty — Internet Matters 'Anleitung für Eltern auf Houseparty

Eine flüchtige Lektüre der Allgemeinen Geschäftsbedingungen von Houseparty würde jeden vernünftigen Experten dazu veranlassen, festzustellen, dass die App nicht GDPR-konform ist, keine Kindersicherung besitzt und Anspruch auf Nutzungsrechte für alle Benutzer hat, die in der App geteilt werden. Dies ist - zusammen mit dem Inhalt des Quiz über 18 - wichtig, um die Eltern zu informieren. Internet Matters leistet betroffenen Eltern auf der ganzen Welt durch die Bereitstellung dieser Inhalte einen schlechten Dienst.

Internet Matters ist nicht der einzige Dienst, der beruhigende Seiten zu Apps veröffentlicht, die nicht ausreichend geprüft wurden. Wir haben uns jedoch dafür entschieden, sie hervorzuheben, da sie ab dem 2. April trotz zumindest immer noch in die Förderung irreführender Inhalte investieren Ein Benutzer meldet Bedenken öffentlich.

Internet Matters vs. a person who used Houseparty — Internetangelegenheiten gegen eine Person, die Houseparty verwendet hat

Wir sind der Ansicht, dass solche Dienste die Schritte, die sie beim Überprüfen von Apps unternehmen, deutlich hervorheben und einen klaren Haftungsausschluss hinzufügen sollten, wenn das Überprüfen oberflächlich war und ausschließlich aus Marketingmaterialien und nicht aus der Überprüfung der Bedingungen oder des Produkts selbst durchgeführt wurde. Diese Dienste sollten in Betracht ziehen, ihren Inhalt zurückzuziehen, nachdem Produkte und Dienste aktualisiert wurden, bis der Inhalt den aktuellen Status der App angemessen widerspiegeln kann. (Die Leitlinien von Internet Matters wurden zuletzt am 24. Dezember 2019 aktualisiert, doch Houseparty führte etwa 11 Monate zuvor im Januar 2019 Quizfragen ein.)

Tracking, Tracking, überall ...

Was ist mit der legalen - aber unerwarteten - Weitergabe personenbezogener Daten? Houseparty hat hier einige Dinge vor sich.

Das Risiko eines illegalen Datendiebstahls ist äußerst gering. Die Muttergesellschaft von Houseparty verfügt über klare Geschäftsmodelle, die dies nicht beinhalten, und sie hat ihren Hauptsitz in einem Land mit angemessenen Datenschutzgesetzen. Houseparty gehört Epic Games . Es gibt keine Anhaltspunkte dafür, dass es die Daten eines Benutzers stehlen würde, und es wäre kontraproduktiv, wenn man dabei erwischt würde.

Houseparty ist kein kostenpflichtiges Produkt, und sein Umsatzmodell ist derzeit nicht klar . Das ist ein guter Grund, vorsichtig zu sein, was die App möglicherweise verfolgt. Derzeit haben wir jedoch keine Beweise dafür gesehen, dass Houseparty gehackt wurde oder Informationen verliert.

Anekdoten auf Twitter sind nicht genug ...

Auf Twitter gibt es zahlreiche Berichte über Benutzer, die behaupten, dass ihre Bankkonten durchsucht wurden, auf Spotify-Konten zugegriffen wurde oder E-Mails nach der Verwendung von Houseparty verfügbar gemacht wurden. Diese Berichte sind jedoch alle anekdotisch und unzuverlässig. Viele Leute verwenden leicht zu erratende Passwörter und werden ständig gehackt: Das Security Magazine berichtete über eine Studie der University of Maryland, in der Hacker alle 39 Sekunden angreifen, und Gemaltos Daten deuten darauf hin , dass jede Sekunde 291 Datensätze gestohlen werden .

Um den Punkt zu demonstrieren: Apples Sicherheit ist im Allgemeinen absolut solide, aber hin und wieder gibt es immer noch einen Hinweis darauf, dass Apple gehackt wurde . Es ist leicht genug, auf Twitter eine beliebige Anzahl von Kurbeln zu finden, die dies jederzeit behaupten. Anekdotenvorwürfe beweisen kein Fehlverhalten.

In der Zwischenzeit behauptet Houseparty, dass ein Dritter eine Abstrichkampagne gegen sie organisiert:

Wir untersuchen Hinweise darauf, dass die jüngsten Hacking-Gerüchte durch eine bezahlte kommerzielle Abstrichkampagne verbreitet wurden, um Houseparty Schaden zuzufügen. Wir bieten bounty@houseparty.com ein Kopfgeld in Höhe von 1.000.000 USD für die erste Person an, die einen Nachweis für eine solche Kampagne erbringt.
- Houseparty (@houseparty) 31. März 2020

Houseparty hat auch gesagt :

Alle Houseparty-Konten sind sicher - der Dienst ist sicher, wurde nie kompromittiert und sammelt keine Passwörter für andere Websites

Bis zu einem gewissen Grad ist dies jedoch ein Wortspiel: Jedes vernünftige Produkt sammelt oder speichert keine Passwörter , sondern verwendet stattdessen Authentifizierungstoken . Wenn Benutzer ihre Houseparty-Konten mit Facebook, Spotify oder Snapchat verbinden, kann die Houseparty-App auf Authentifizierungs- oder Datenaustausch-Token für diese Konten zugreifen und diese möglicherweise speichern. Es gibt keinen Hinweis darauf, ob diese gespeichert sind oder nicht. Das Speichern dieser Art von Token ist an sich nichts Ungewöhnliches , aber es gibt immer noch eine wichtige Frage: Synchronisiert Houseparty Kontakte nur bei der Anmeldung mit Facebook oder speichert das Authentifizierungstoken für Facebook, damit Kontakte oder andere Kontodaten synchronisiert werden können Zukunft? Ihr Tweet schließt dies nicht aus.

Die Sicherheit und Datennutzung von Houseparty wird detaillierter beschrieben

ESET hat sich die Android-App von Houseparty angesehen und vorgeschlagen, dass sie im Großen und Ganzen in Ordnung aussieht. Wir haben uns die iOS-App von Houseparty und die Speicherung von Daten sowie einige der Verträge und rechtlichen Bestimmungen rund um den Dienst genauer angesehen. Wir haben einige bemerkenswerte Funde aus der com.herzick.houseparty App hervorgehoben, wie sie heißt:

Houseparty lässt sich derzeit genau wie Zoom in Facebook integrieren. Bei der Integration werden einige Nutzungsdaten mit Facebook geteilt. Es ist angeblich dazu da, die Einladung von Facebook-Freunden zu ermöglichen, und Tracking ist eine unvermeidliche Folge, wenn Benutzer sich für eine Verbindung mit Facebook entscheiden.
Houseparty speichert und speichert Feed-Adressen für alle Arten von Konfigurationsdaten auf Endbenutzergeräten. Zum Beispiel enthält es den Pfad zu allen Fragen und Antworten für Housepartys „Fun Fact“ -Trivia-Spiel. Es scheint auf dem Telefon jedes Benutzers zu bleiben, zusammen mit einer Reihe anderer Feeds.
Die Houseparty-App speichert einige "Facemails" zwischen, die Benutzer erhalten. Sie finden sie in Library/Application Support/Prefetch-Facemails und werden im mp4 Format gespeichert. (Wenn Sie neugierig sind, selbst zu suchen, sollte dieses Dokument helfen.)
Es gibt eine angemessene Menge an Tracking-Informationen, die über das Telefon eines Benutzers gespeichert werden, höchstwahrscheinlich für Fingerabdrücke von Geräten. So wieNetflixHouseparty speichert den Benutzeragenten eines Geräts (dh.Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148) behält aber auch Werte wiebnc_device_fingerprint_id, die ihnen helfen, Geräte zu identifizieren, die den Dienst im Laufe der Zeit nutzenallgegenwärtige Praxisdass Apple wiederholt durchgegriffen hat und Houseparty anscheinend nicht die empfohlenen verwendetIDFA/.IDFVTracking-IDs, die Apple bereitstellt. Vermutlich, weil sie die Effektivität des Trackings abschwächen!
Überraschenderweise enthalten Backups der Houseparty-App eine vollständige Protokollierungs- / Verfolgungsdatenbank für die App. Das schließt nur die eigenen Daten eines Benutzers ein, ist aber sehr ausführlich und enthält alle Arten von detaillierten Daten, die nicht in einer Sicherung enthalten sein sollten.

Wir vermuten, dass Houseparty ein Sicherheitsaudit eines Drittanbieters nicht bestehen würde, ohne dass zumindest einige dieser Punkte markiert würden. Die Tatsache, dass diese weiterhin in der aktuellen Version der App vorhanden sind, macht uns nervös. Die Bestätigung, dass Houseparty eine Sicherheitsüberprüfung durch Dritte durchgeführt hat, wäre beruhigend.

Mit Blick auf das Kleingedruckte ...

Als wir uns schließlich der Datenschutzrichtlinie und den rechtlichen Bestimmungen von Houseparty zuwandten , sahen wir einige Dinge, die nicht gut zusammenpassten. Erstens gibt es keine verantwortungsvolle Offenlegungsrichtlinie. Dies wäre ein Dokument, das beschreibt, wie das Unternehmen reagiert, wenn ein Sicherheitsforscher ein Problem findet. In der Regel enthalten Richtlinien wie diese eine Sicherheitsprämie für den Finder auf der Grundlage, dass sie das Problem verantwortungsvoll an das Unternehmen weitergeben, damit das Problem behoben werden kann.

Ohne eine solche Richtlinie müssen Sicherheitsforscher normalerweise Kundenbetreuungsteams per E-Mail benachrichtigen, wenn sie Probleme finden, und es ist bekanntermaßen schwierig, durch die Kundenbetreuung Kontakt mit dem Sicherheitsteam eines Unternehmens aufzunehmen. Hätten wir beim Suchen etwas wirklich Schreckliches in der App gefunden, hätte uns eine Offenlegungsrichtlinie einen Ort gegeben, an dem wir leicht berichten können, was wir gefunden haben. (Als Referenz finden Sie hier die Offenlegungsrichtlinie von Reincubate .)

Es scheint wirklich erstaunlich, dass Houseparty eine Prämie von 1 Mio. USD (ohne klare Bedingungen!) Angeboten würde, um Beweise für eine Abstrichkampagne zu ihrer Sicherheit zu finden, aber keine Belohnung für die verantwortungsvolle Offenlegung von Sicherheitsproblemen auf der Plattform zu bewerben .

Es gibt einige Aspekte der Allgemeinen Geschäftsbedingungen der Houseparty: Safe Harbor / Privacy Shield oder GDPR werden überhaupt nicht erwähnt, was auf eine lockere Haltung gegenüber dem Schutz der Benutzer hinweist und sie möglicherweise in rechtliche Schwierigkeiten mit den europäischen Datenschutzbehörden bringen könnte . Darüber hinaus könnte die mangelnde Einhaltung der DSGVO auch dazu führen, dass Unternehmen, die solche Dienste nutzen, selbst gegen die Datenschutzgesetze verstoßen, was sie den Herausforderungen ihrer eigenen Kunden aussetzen könnte. Ein Hinweis darauf, dass die DSGVO nicht berücksichtigt wurde, ist, dass Benutzer sich nur dafür entscheiden können, das Marketing zu deaktivieren. Dies verstößt gegen die europäische DSGVO-Gesetzgebung, nach der solche Optionen zum Zeitpunkt der Anmeldung aktiviert sein müssen. Es gibt auch keine Möglichkeit, die Erfassung anderer Daten zu deaktivieren.

Die Bedingungen von Houseparty umfassen Folgendes:

Sie erklären sich damit einverstanden, dass Life on Air den Inhalt aller von Ihnen über die Dienste eingereichten Mitteilungen, einschließlich der darin offenbarten Ideen, Erfindungen, Konzepte, Techniken oder Know-how, für jeden Zweck, einschließlich Entwicklung, Herstellung und / oder, verwenden kann Vermarktung von Waren oder Dienstleistungen

Wir sind keine Anwälte, aber das scheint Probleme mit geistigem Eigentum aufzuwerfen: Wenn Sie über Ihre Geschäftsidee oder Ihr Produkt sprechen, kann Houseparty alles, was Sie besprochen haben, nutzen, um entweder ein eigenes Produkt zu entwickeln oder die Informationen an Dritte zu verkaufen . Es wird auch darauf hingewiesen, dass der Dienst möglicherweise einige Nachrichteninhalte beibehält . In diesem Fall verstößt er möglicherweise gegen die europäischen Gesetze zur Überwachung der Kommunikation.

Zu ihren Bedingungen gehört auch dieser Satz, der Benutzer dazu auffordert, Houseparty eine E-Mail zu senden, um unerwünschte Marketingkommunikation zu deaktivieren:

Personen, die uns personenbezogene Daten zur Verfügung stellen oder deren personenbezogene Daten wir von Dritten erhalten, erhalten möglicherweise regelmäßig E-Mails, Newsletter, Mailings, Push-Benachrichtigungen oder Textnachrichten von uns mit Informationen zu den Produkten und Dienstleistungen unserer oder unserer Geschäftspartner oder bevorstehenden Sonderangeboten / Ereignisse, von denen wir glauben, dass sie von Interesse sind. Wir bieten die Möglichkeit, diese Mitteilungen für den Einzelnen kostenlos abzulehnen, indem wir die Anweisungen in Abschnitt 5 unten befolgen.

Alle diese Datenschutzprobleme bei Houseparty stehen in starkem Kontrast zu etablierten Messaging-Apps wie FaceTime, iMessage, WhatsApp, Zoom und Slack. WhatsApp verfügt über eine hervorragende Dokumentation und Richtlinien zum Datenschutz. Sogar Zoom erklärt : „Zoom überwacht oder verwendet Kundeninhalte nur aus Gründen der Bereitstellung unserer Dienste. Zoom verkauft keine Kundeninhalte an Dritte und verwendet sie nicht für Werbezwecke. “ Slack macht deutlich, dass sie Kundendaten nur zur Bereitstellung des Dienstes verwenden und diese gemäß den Wünschen des Kunden aufbewahren (z. B. bieten einige Geschäftspläne eine Archivierung an).

Was tun, wenn Sie sich Sorgen um Ihre Sicherheit machen?

Wenn Sie sich online sicher halten oder Houseparty verwenden möchten, empfehlen wir Ihnen, die folgenden Schritte auszuführen.

Die Deinstallation von Houseparty reicht nicht aus, um Ihre Daten aus ihrem Dienst zu entfernen. Ihr Dienst speichert möglicherweise weiterhin Ihre Telefonnummer, Ihren Namen, Ihre hochgeladene Kontaktliste und Ihre Authentifizierungstoken. In den Nutzungsbedingungen wird empfohlen , sich an hello@houseparty.com zu wenden , um das Marketing zu deaktivieren und Ihre Daten zu entfernen. Seltsamerweise wird die E-Mail data-requests@lifeonair.com später zitiert, jedoch nicht für Datenanfragen!
Es ist möglich, Houseparty zu verwenden, ohne viel anderes als Ihre Telefonnummer mitzuteilen. Die Integrationen von Facebook, Snapchat und Spotify sind optional, ebenso wie das Hochladen Ihrer Kontaktliste. Wir empfehlen, dass Sie diese Dinge vermeiden und stattdessen Freunde manuell hinzufügen.
Wenn Sie Houseparty ausführen, sollten Benutzer beachten, dass Besucher jederzeit einen Raum betreten können. Andere Benutzer werden benachrichtigt, dass Sie online sind, sobald Sie die App öffnen. In acht nehmen! Standardmäßig sind Räume nicht gesperrt, was bedeutet, dass jeder, der etwas hinzugefügt hat, vorbeischauen kann. Es gibt alle möglichen Tweets über Benutzer, die überrascht sind, wenn ihr Chef während des Badens auf ihrer Houseparty vorbeikommt! Sie können dies in den Einstellungen von Houseparty ändern.
Wie bei jedem Onlinedienst empfehlen wir, einfache Vorsichtsmaßnahmen zu treffen, um online sicher zu sein. Wir fassen diese am Ende dieses Artikels zusammen und geben hier umfassende Sicherheitstipps für Apple-Benutzer .