Clubhouse усилит безопасность приложения (clubhouse voice chat social network)

Группа исследователей из Стэнфордской интернет-обсерватории определила, что практика защиты данных Clubhouse позволила правительству Китая получить доступ к данным его пользователей, возможно, включая их необработанный звук.

В новом отчете исследователи SIO показывают, что Clubhouse использует китайскую компанию Agora, которая предоставляет платформу для взаимодействия с голосом и видео в реальном времени, для обеспечения своей внутренней инфраструктуры. Это означает, что Clubhouse использует платформу Agora в качестве основы инфраструктуры своего приложения.

Clubhouse усилит безопасность приложения (116864661 tv065586919)

Вот где начинается тревога: исследователи SIO обнаружили, что, когда пользователи присоединяются к каналу в Clubhouse, пакет, содержащий метаданные о каждом пользователе, отправляется во внутреннюю инфраструктуру Agora. Метаданные включают уникальный идентификатор клуба пользователя и идентификатор комнаты, к которой они присоединяются. Он не зашифрован, «это означает, что к нему может получить доступ любое третье лицо, имеющее доступ к сетевому трафику пользователя».

«Таким образом, перехватчик может узнать, разговаривают ли два пользователя друг с другом, например, обнаружив, присоединяются ли эти пользователи к одному каналу», — пишут исследователи.

Кроме того, исследователи обнаружили, что Agora, вероятно, будет иметь доступ к необработанному аудиотрафику Clubhouse. Это означает, что если звук не зашифрован сквозным шифрованием — что, по мнению SIO, «крайне маловероятно», — Агора может перехватить, расшифровать и сохранить звук.

Clubhouse усилит безопасность приложения (https hypebeast.com image 2021 02 clubhouse app closer look social media platform 2021 information 001)

Некоторым из вас может быть интересно, почему это важно, есть ли у Clubhouse китайский провайдер, у которого также есть офисы в Кремниевой долине. Это чрезвычайно важно, потому что означает, что Agora должна соблюдать закон Китая о кибербезопасности. Исследователи отмечают, что сама Agora признала, что она будет обязана оказывать Китаю помощь и поддержку в вопросах, связанных с национальной безопасностью и уголовными расследованиями. Другими словами:

«Если китайское правительство определит, что звуковое сообщение угрожает национальной безопасности, Agora будет по закону обязана помогать правительству в его обнаружении и хранении», — написали они.

Согласно отчету, Agora утверждает, что не хранит пользовательское аудио или метаданные, кроме как для мониторинга качества сети и выставления счетов своим клиентам. Однако исследователи отмечают, что китайские правительства все еще теоретически могут подключаться к сетям Agora и записывать пользовательские данные.

Исследователи решили выявить эти проблемы безопасности, потому что недостатки было легко найти. Кроме того, они заявили, что эти проблемы представляют непосредственную угрозу безопасности миллионов пользователей Clubhouse, особенно в Китае. Команда SIO также обнаружила другие недостатки безопасности, о которых сообщила Clubhouse в частном порядке, и заявила, что обнаружит их, когда они будут исправлены или после определенного срока.

Clubhouse отреагировал на отчет SIO и заявил, что «глубоко привержен защите данных и конфиденциальности пользователей». В приложении заявлено, что, хотя оно не запускало Clubhouse в Китае, некоторые нашли обходной путь для загрузки приложения и что «разговоры, в которых они участвовали, могли передаваться через китайские серверы».

В ответе, который исследователи опубликовали полностью, Clubhouse сказал, что исследователи помогли им определить области, в которых он может усилить защиту данных.