Пробив в разговори в Clubhouse разкрива уязвимостта на платформата

Седмица след като популярното приложение за аудио чат Clubhouse заяви, че предприема действия, за да се увери, че данните на потребителите не могат да бъдат откраднати чрез зловреден софтуер или от шпиони, поне един потребител доказа, че платформата е уязвима, пише Bloomberg.

Този уикенд неидентифициран потребител е успял да стриймва аудио разговорите от Clubhouse от „няколко стаи“ в сайт на трета страна, твърди Рийма Бахнаси, говорител на Clubhouse. Въпреки че компанията твърди, че е наложила „перманентна забрана“ за конкретния потребител и е инсталирала нови защити, за да предотврати повторен такъв случай, експерти смятат, че платформата може да не е в позиция да дава подобни обещания.

Потребителите на приложението за iOS, което е достъпно единствено с покани, трябва да приемат, че всички разговори се записват, обявиха от Станфордската интернет обсерватория, която за първи път разкри публично опасенията си за сигурността на 13 февруари.

„Clubhouse не може да дава обещания за поверителността на разговорите, провеждани навсякъде по света“, коментира Алекс Стамос, директор на обсерваторията и бивш директор по сигурността на Facebook.

Стамос и екипът му са успели да потвърдят, че Clubhouse разчита на базиран в Шанхай стартъп, наречен Agora, за справянето с по-голямата част от поддръжката. Въпреки че Clubhouse е отговорна за потребителското преживяване, като добавянето на нови приятели и откриването на стаи, платформата разчита на китайска компания, която да обработва трафика на данни, допълва той.

Зависимостта на Clubhouse от Agora повдига опасения за поверителността, особено на китайските граждани и дисидентите, които са с впечатлението, че разговорите им са извън обсега на държавното наблюдение, коментира Стамос.

Agora твърди, че не може да коментира сигурността или протоколите за поверителност на Clubhouse и настоява, че не „събира или споделя лична идентифицираща информация“ за нито един от клиентите си, а Clubhouse е само един от тях. „Ангажирани сме да направим нашите продукти максимално сигурни“, посочват от компанията.

През уикенда експерти по киберсигурност са забелязали, че аудио и метаданни са били изтеглени от Clubhouse към друг сайт.

„Потребителят е създал начин за дистанционно споделяне на своите данни за влизане с останалия свят“, коментира Робърт Потър, главен изпълнителен директор на Internet 2.0, която е базирана в Канбера, Австралия. „Реалният проблем е, че хората смятаха, че тези разговори са лични“.

Въпреки че Clubhouse е отказала да коментира какви стъпки е предприела, за да предотврати подобни нарушения като това през уикенда, решенията могат да включват блокиране на използването на приложения на трети страни за достъп до аудиото на чатстаите без реално влизане в тях или просто чрез ограничаване на стаите, в които един потребител може да влезе едновременно, твърди Джак Кейбъл, който се занимава с проучвания в Станфордската интернет обсерватория.