Чаты Clubhouse уязвимы и вызывают опасения по поводу безопасности

Спустя неделю после того, как популярное приложение для аудиочатов Clubhouse заявило, что предпринимает шаги для предотвращения кражи пользовательских данных, по крайней мере один злоумышленник доказал, что может публиковать живое аудио с платформы.

Jakub Porzycki/NurPhoto/Getty Images

Jakub Porzycki / NurPhoto / Getty Images

Неизвестный пользователь смог транслировать аудиопотоки Clubhouse в эти выходные из «множества комнат» на свой сторонний веб-сайт, сообщила пресс-секретарь Clubhouse Рима Банаси (Reema Bahnasy). Хотя компания заявила, что «навсегда заблокировала» этого конкретного пользователя и ввела новые меры безопасности, чтобы предотвратить подобное, исследователи предполагают, что платформа попросту не в состоянии давать такие обещания.

Пользователи доступного пока только на iOS приложения должны общаться с расчётом на то, что все разговоры записываются — так считают исследователи из Стэнфордского центра по изучению политики в отношении Интернета (Stanford Internet Observatory, SIO), которые 13 февраля впервые публично выразили обеспокоенность по поводу безопасности. »Clubhouse не может давать никаких обещаний о конфиденциальности разговоров, проводимых в любой точке мира»,  — сказал директор SIO и бывший руководитель службы безопасности Facebook Алекс Стамос (Alex Stamos).

Он со своей командой также смог подтвердить, что Clubhouse полагается на находящийся в Шанхае стартап под названием Agora для выполнения бо́льшей части своих внутренних операций. По его словам, в то время как Clubhouse отвечает за пользовательский интерфейс (добавление новых друзей, поиск комнат и тому подобное), сама платформа полагается на китайскую компанию для обработки всего трафика данных и звука. По мнению господина Стамоса, зависимость Clubhouse от Agora вызывает серьёзные опасения по поводу конфиденциальности, особенно для китайских граждан и диссидентов, считающих, что их разговоры находятся вне досягаемости государства.

Agora заявила, что не может комментировать протоколы безопасности или конфиденциальности Clubhouse и настаивала на том, что не хранит и не передаёт личную информацию ни одному из своих клиентов (Clubhouse является лишь одним из множества). «Мы стремимся сделать наши продукты максимально безопасными», — заявили в компании. Эксперты SIO утверждают, что по китайским законам Agora обязана помогать правительству в прослушивании и анализе записей, если власти посчитают это делом национальной безопасности.

9to5Mac

На выходных эксперты по кибербезопасности заметили, что звук и метаданные из Clubhouse публикуются на другом сайте. «Пользователь настроил возможность удалённо делиться своим логином с остальным миром,  — отметил исполнительный директор Internet 2.0 из австралийской столицы Роберт Поттер (Robert Potter). — Ключевая проблема состоит в том, что люди думают, будто все их разговоры через эту службу конфиденциальны».

Виновник кражи аудио на выходных построил свою собственную систему на основе инструментария JavaScript, который использовался для компиляции приложения Clubhouse. По словам господина Стамоса, он эффективно фальсифицировал платформу. SIO заявила, что не установила ни происхождение, ни личности злоумышленников.

Хотя Clubhouse отказалась объяснить, какие шаги были предприняты для предотвращения подобного, решения могут включать предотвращение использования сторонних приложений для доступа к аудио в чате без фактического входа в комнату или просто ограничение количества комнат, в которые пользователь может войти одновременно.

Clubhouse сейчас оценивается в $10 млрд и недавно привлекла $100 млн инвестиций. В начале февраля пользователи Clubhouse на материковом Китае заявили, что не могут получить доступ к приложению после резкого роста обсуждений табуированных тем от Тайваня до Синьцзяна. Пока, впрочем, к приложению в Китае можно получить доступ через VPN.

© 3DNews