Clubhouse усилит безопасность приложения

Группа исследователей из Стэнфордской интернет-обсерватории определила, что практика защиты данных Clubhouse позволила правительству Китая получить доступ к данным его пользователей, возможно, включая их необработанный звук.

В новом отчете исследователи SIO показывают, что Clubhouse использует китайскую компанию Agora, которая предоставляет платформу для взаимодействия с голосом и видео в реальном времени, для обеспечения своей внутренней инфраструктуры. Это означает, что Clubhouse использует платформу Agora в качестве основы инфраструктуры своего приложения.

Вот где начинается тревога: исследователи SIO обнаружили, что, когда пользователи присоединяются к каналу в Clubhouse, пакет, содержащий метаданные о каждом пользователе, отправляется во внутреннюю инфраструктуру Agora. Метаданные включают уникальный идентификатор клуба пользователя и идентификатор комнаты, к которой они присоединяются. Он не зашифрован, «это означает, что к нему может получить доступ любое третье лицо, имеющее доступ к сетевому трафику пользователя».

«Таким образом, перехватчик может узнать, разговаривают ли два пользователя друг с другом, например, обнаружив, присоединяются ли эти пользователи к одному каналу», — пишут исследователи.

Кроме того, исследователи обнаружили, что Agora, вероятно, будет иметь доступ к необработанному аудиотрафику Clubhouse. Это означает, что если звук не зашифрован сквозным шифрованием — что, по мнению SIO, «крайне маловероятно», — Агора может перехватить, расшифровать и сохранить звук.

Некоторым из вас может быть интересно, почему это важно, есть ли у Clubhouse китайский провайдер, у которого также есть офисы в Кремниевой долине. Это чрезвычайно важно, потому что означает, что Agora должна соблюдать закон Китая о кибербезопасности. Исследователи отмечают, что сама Agora признала, что она будет обязана оказывать Китаю помощь и поддержку в вопросах, связанных с национальной безопасностью и уголовными расследованиями. Другими словами:

«Если китайское правительство определит, что звуковое сообщение угрожает национальной безопасности, Agora будет по закону обязана помогать правительству в его обнаружении и хранении», — написали они.

Согласно отчету, Agora утверждает, что не хранит пользовательское аудио или метаданные, кроме как для мониторинга качества сети и выставления счетов своим клиентам. Однако исследователи отмечают, что китайские правительства все еще теоретически могут подключаться к сетям Agora и записывать пользовательские данные.

Исследователи решили выявить эти проблемы безопасности, потому что недостатки было легко найти. Кроме того, они заявили, что эти проблемы представляют непосредственную угрозу безопасности миллионов пользователей Clubhouse, особенно в Китае. Команда SIO также обнаружила другие недостатки безопасности, о которых сообщила Clubhouse в частном порядке, и заявила, что обнаружит их, когда они будут исправлены или после определенного срока.

Clubhouse отреагировал на отчет SIO и заявил, что «глубоко привержен защите данных и конфиденциальности пользователей». В приложении заявлено, что, хотя оно не запускало Clubhouse в Китае, некоторые нашли обходной путь для загрузки приложения и что «разговоры, в которых они участвовали, могли передаваться через китайские серверы».

В ответе, который исследователи опубликовали полностью, Clubhouse сказал, что исследователи помогли им определить области, в которых он может усилить защиту данных.