За последние несколько недель социальная сеть Clubhouse стала одной из наиболее обсуждаемых не только в мире, но и в рунете: Илон Маск приглашает пообщаться Владимира Путина, Марк Цукерберг распорядился создать аналогичную социальную сеть, а Владимир Соловьев грозится отрывать головы биониклам из-за получения бана.
Тем не менее этот оглушительный успех грозит обернуться абсолютным провалом, ведь вместе с вниманием широкой публики сеть вызвала интерес специалистов по информационной безопасности. И, как оказалось, интерес небезосновательен.
Передача личных данных на сервера в КНР
Команда интернет-обсерватории Стенфордского университета обнаружила связь между социальной сетью и шанхайским стартапом. Как оказалось, Clubhouse использует инфраструктуру платформы Agora для общения в реальном времени, что насторожило исследователей. Более того, в политике конфиденциальности социальной сети нет и слова о сотрудничестве с упомянутым стартапом.
Более подробный анализ привёл к значительным результатам – уникальные ID пользователя и комнаты отправляются на сервера Agora незашифрованными, причём сервера получают данные независимо от физического расположения пользователей. Обнаружено это было при проверке, в ходе которой в комнате были только американские пользователи Clubhouse.
На основании данных исследования специалисты предполагают, что помимо пользовательской информации Agora может иметь доступ и к аудиозаписям разговоров, но подтвердить это им не удалось.
Реакция Clubhouse на исследование не заставила себя ждать: руководство заверяет, что конфиденциальность разговоров является одним из приоритетов социальной сети, при этом не признаёт проблемы с безопасностью, предпочитая формулировку «области для улучшения». Тем не менее компания пообещала устранить проблемы в короткие сроки, а для проверки нанять независимых экспертов по информационной безопасности.
Казалось бы, инцидент исчерпан – проблемы устранены, аудиозаписи разговоров в безопасности… И действительно, так только казалось.
Хакерам удалось записать беседы в комнатах Clubhouse
Конечно, любой продвинутый пользователь социальной сети может записать разговор в комнате, в которой находится – приложений для записи разговоров хватает. Хакеры же пошли дальше: вместо записи разговора в отдельной комнате, им удалось вывести аудиострим из нескольких комнат одновременно на свой веб-ресурс.
Практически одновременно с ними китайский пользователь написал код, который позволяет любому слушать диалоги в Clubhouse без приглашения, и выложил его на GitHub.
Как и в предыдущем случае, Clubhouse сработали оперативно: уязвимости устранили всего за день, а пользователя, который выводил аудиострим, забанили. Однако неизвестно как долго этими уязвимостями могли пользоваться другие хакеры.
Примечательно, что новый скандал спровоцировал больше обсуждений: исполнительный директор консалтинговой фирмы в сфере защиты данных PIX LLC заявил, что Clubhouse не уделили должного внимания политике конфиденциальности – ведь приложение собирает не только персональную информацию, но и список контактов. Более того, Clubhouse требует доступ к информации аккаунта в Twitter, при этом никак не объясняет такую необходимость.
В итоге специалисты выдвинули множество претензий к защите данных пользователей и конфиденциальности разговоров, но большинство из них не представляют значительной опасности. А вот интерес, который приковал к себе Clubhouse даром не проходит, и энтузиасты создают всё новые способы обхода защиты социальной сети.
Телеграм-бот для записи бесед в Clubhouse
На днях энтузиаст представил телеграм-бот, который позволяет записывать разговоры в Clubhouse. Работа с ним исключительно проста: нужно отправить ссылку на активную чат-комнату, после чего бот присоединится к конференции и начнёт запись. По окончанию беседы бот пришлёт в ответ один или несколько звуковых дорожек с записью беседы.
Разработчик утверждает, что бот не нарушает правила социальной сети, поскольку предупреждает о необходимости письменного согласия записи беседы от всех участников, однако при этом не уточняется, каким образом бот получает доступ к чат-комнате. Что же, со временем узнаем, насколько представители Clubhouse разделяют мнение энтузиаста.
Clubhouse: безопасно или нет?
Однозначно ответить на этот вопрос пока что нельзя – социальная сеть только обрела популярность, и ей только предстоит проверка временем. Как и в любом вопросе, есть две стороны медали: с одной стороны – множество вопросов не только к политике конфиденциальности, но и фактической защите данных; с другой – компания оперативно реагирует на возникающие проблемы и решает их в краткие сроки.
Исходя из имеющейся информации, Clubhouse можно использовать для досуга – послушать интересных спикеров, а может даже поучаствовать в беседе по интересующим вопросам. В то же время использовать данную социальную сеть для профессиональной деятельности не рекомендуется, поскольку несмотря на быстрое решение возникающих проблем, их всё ещё хватает – а значит и гарантировать безопасность ваших разговоров или данных компания не может.
Подписывайся на Эксплойт в Telegram, чтобы не пропустить новые компьютерные трюки, хитрости смартфонов и секреты безопасности в интернете.
Join the conversation.