Clubhouse zyskuje ostatnio coraz większą popularność jako nowa aplikacja społecznościowa. Im więcej ludzi jej używa, tym istotniejsze wydają się być kwestie bezpieczeństwa.
Clubhouse pod lupą badaczy
Grupa badaczy ze Stanford Internet Observatory postanowiła przyjrzeć się bliżej zabezpieczeniom coraz popularniejszej aplikacji Clubhouse. Jak się okazało, mimo dostępności wyłącznie na urządzeniach Apple, mających bardzo dobre zabezpieczenia, program umożliwia uzyskanie dostępu do danych użytkowników, a potencjalnie – nawet do nieprzetworzonego dźwięku. Mogą korzystać na tym chińskie służby wywiadowcze. Jak?
Raport wskazuje, że Clubhouse korzysta z usług chińskiej firmy Agora. To ona zapewnia platformę niezbędną do przesyłania dźwięku w czasie rzeczywistym, co jest podstawą interakcji w aplikacji. Nie jest to rdzeń aplikacji, ale prowadzenie rozmów przez Clubhouse nie byłoby możliwe bez rozwiązań Agory.
Badacze SIO wskazują, że dołączając się do wybranego kanału w Clubhouse, identyfikatory nasze oraz pokoju rozmów są wysyłane do Agory. Nie byłoby w tym nic złego (w końcu oprogramowanie musi na jakoś namierzyć, by umożliwić połączenie), ale dane te nie są szyfrowane. Jak tłumaczą specjaliści, oznacza to, że każda osoba trzecia mająca dostęp do ruchu sieciowego użytkownika, może je podglądać. W ten sposób łatwo określić na przykład, czy dwóch użytkowników dołączyło do tego samego kanału.
Mało tego, chińska Agora mogłaby zyskać dostęp do nieprzetworzonego ruchu audio w Clubhouse. Oznacza to, że jeśli sygnał nie jest szyfrowany metodą end-to-end, to firma mogłaby przechwycać, transkrybować i przechowywać dźwięk. Jednocześnie specjaliści przyznają, że jest to bardzo mało prawdopodobne. Agora twierdzi, że tego nie robi, a jedyne dane, jakie są gromadzone, to te niezbędne do monitorowania ruchu i jego utrzymania.
Jednocześnie jednak, firma jest zobowiązana do przestrzegania chińskiego prawa dotyczącego cyberbezpieczeństwa. Jeśli więc tylko rząd Chin doszedłby do wniosku, że przekaz audio w obrębie aplikacji zagraża bezpieczeństwu narodowemu, Agora byłaby zmuszona do pomocy w pozyskaniu ważnych danych.
Oficjalnie – wszystko działa, jak trzeba
Rzecznik Agory przekazał, że nie zamierza komentować swoich umów z Clubhouse. Podkreślił jednak, że firma nie ma dostępu do danych osobowych użytkowników aplikacji, które nie działają w Chinach, ani ich nie przechowuje.
Rzeczywiście, Clubhouse oficjalnie w Chinach obecny nie jest. Jednak wiele osób już znalazło sposób, by obejść blokadę regionalną i instaluje aplikację na własnych smartfonach. To właśnie oni są najbardziej narażeni na ewentualną inwigilację ze strony chińskiego rządu.
Zespół badaczy ze Stanford Internet Observatory postanowił opublikować wyniki swoich analiz, ponieważ niektóre z luk bezpieczeństwa były wręcz banalne do wykrycia. O innych zagrożeniach twórcy aplikacji zostali poinformowani w trybie poufym i podejmują kroki, by wzmocnić ochronę danych w najbardziej wrażliwych obszarach.
Z pełnym raportem SIO możecie zapoznać się tutaj.