Исследователи из Стэнфордского университета обнаружили уязвимости в инфраструктуре стремительно набирающего обороты приложения для аудиочатов Clubhouse. Разработчики сервиса планируют добавить дополнительное шифрование, чтобы предотвратить передачу пингов на серверы в Китае.
В отчёте Stanford Internet Observatory (SIO) говорится, что серверную инфраструктуру для приложения Clubhouse предоставляет китайская компания Agora. В SIO также выяснили, что уникальные номера идентификаторов в Clubhouse (не имена пользователей) и ID комнат чатов передаются в виде открытого текста. Это потенциально позволяет Agora получать доступ к аудио в Clubhouse. Таким образом, любой орган, отслеживающий интернет-трафик, может сопоставить идентификаторы в общих чатах, чтобы увидеть, кто разговаривает друг с другом. И это особенно актуально для жителей материкового Китая.
Any observer of internet traffic could easily match IDs on shared chatrooms to see who is talking to whom. For mainland Chinese users, this is troubling
— Stanford Internet Observatory (@stanfordio) 13 февраля 2021 г.
(4/8)
В комментарии SIO представитель Agora заявил, что компания не хранит пользовательские аудио или метаданные для других целей, кроме как для мониторинга качества сети и выставления счетов своим клиентам. Кроме того, пока аудио хранятся на серверах в США, китайское правительство не сможет получить доступ к данным. При этом в компании отказались от комментариев по поводу отношений с Clubhouse.
В Clubhouse в свою очередь отметили, что приложение не было запущено в Китае, поскольку китайские власти отслеживают пользователей и нарушают конфиденциальность данных. Однако некоторые пользователи нашли возможность установить приложение, и до тех пор, пока оно не было заблокировано (что произошло на этой неделе), их разговоры могли передаваться через китайские серверы.
Компания сообщила, что планирует добавить дополнительное шифрование и сделать так, чтобы пинги никогда не передавались на китайские серверы. Clubhouse также наймёт внешнего провайдера услуг в области защиты безопасности для проверки внесённых изменений.
Напомним, что Clubhouse – это стремительно растущее iOS-приложение для аудиочатов, доступное только по приглашению, которому прочат успех TikTok. По данным The Information, недавно компания была оценена в 1 млрд. Среди пользователей Clubhouse значатся Илон Маск, Марк Цукерберг и другие известные личности, а Facebook и Twitter уже работают над аналогами этой функциональности в своих сервисах.
