Clubhouse: qu’en est-il de la vie privée, comment enregistrer une conversation et qu’est-ce que la Chine a à voir avec cela
Au cours des dernières semaines, le réseau social Clubhouse est devenu l’un des plus discutés non seulement dans le monde, mais aussi dans Runet: Elon Musk invite Vladimir Poutine à discuter, Mark Zuckerberg a ordonné la création d’un réseau social similaire, et Vladimir Solovyov menace d’arracher la tête des bionicles à cause de son interdiction.
Néanmoins, ce succès retentissant menace de se transformer en échec absolu, car, parallèlement à l’attention du grand public, le réseau a suscité l’intérêt des spécialistes de la sécurité de l’information. Et, comme il s’est avéré, l’intérêt n’est pas sans fondement.
Transfert de données personnelles vers des serveurs en Chine
Une équipe de l’Observatoire Internet de l’Université de Stanford a découvert un lien entre un réseau social et une startup basée à Shanghai. Il s’est avéré que Clubhouse utilise l’infrastructure de la plateforme Agora pour la communication en temps réel, ce qui a alerté les chercheurs. De plus, dans la politique de confidentialité du réseau social, il n’y a aucun mot sur la coopération avec la startup mentionnée.
Une analyse plus détaillée a conduit à des résultats significatifs : les identifiants d’utilisateur et les salles uniques sont envoyés aux serveurs Agora sans être chiffrés, et les serveurs reçoivent des données quel que soit l’emplacement physique des utilisateurs. Cela a été découvert lors d’un contrôle dans lequel seuls les utilisateurs du US Clubhouse étaient dans la salle.
Sur la base des données de recherche, les experts suggèrent qu’en plus des informations sur les utilisateurs, Agora peut avoir accès à des enregistrements audio de conversations, mais ils n’ont pas été en mesure de le confirmer.
La réaction de Clubhouse à l’étude ne s’est pas fait attendre: la direction assure que la confidentialité des conversations est l’une des priorités du réseau social, tout en ne reconnaissant pas les problèmes de sécurité, préférant la formulation «points d’amélioration ». Néanmoins, la société a promis de résoudre les problèmes dans un court laps de temps et d’engager des experts indépendants en sécurité de l’information pour vérifier.
Il semblerait que l’incident soit réglé – les problèmes ont été éliminés, les enregistrements audio des conversations sont en sécurité … Et en effet, cela ne semblait que le cas.
Les pirates ont réussi à enregistrer des conversations dans les salles du Clubhouse
Bien sûr, tout utilisateur avancé d’un réseau social peut enregistrer une conversation dans la pièce dans laquelle il se trouve – il existe suffisamment d’applications pour enregistrer des conversations. Les pirates sont allés plus loin: au lieu d’enregistrer une conversation dans une pièce séparée, ils ont réussi à amener le flux audio de plusieurs pièces simultanément vers leur ressource Web.
Presque simultanément avec eux, un utilisateur chinois a écrit un code permettant à quiconque d’écouter des dialogues dans le Clubhouse sans invitation, et l’a posté sur GitHub.
Comme dans le cas précédent, Clubhouse a fonctionné rapidement : les vulnérabilités ont été corrigées en une journée seulement et l’utilisateur qui a émis le flux audio a été banni. Cependant, on ne sait pas combien de temps ces vulnérabilités pourraient être exploitées par d’autres pirates.
Il est à noter que le nouveau scandale a suscité davantage de discussions: le directeur général de la société de conseil en protection des données PIX LLC a déclaré que Clubhouse n’avait pas prêté l’attention voulue à la politique de confidentialité – car l’application collecte non seulement des informations personnelles, mais également une liste de contacts. De plus, Clubhouse exige l’accès aux informations du compte Twitter, mais n’explique en aucune façon ce besoin.
De ce fait, les spécialistes ont mis en avant de nombreuses revendications concernant la protection des données des utilisateurs et la confidentialité des conversations, mais la plupart d’entre elles ne présentent pas de danger significatif. Mais l’intérêt qu’a suscité Clubhouse ne va pas en vain, et les passionnés créent de plus en plus de nouvelles façons de contourner la protection du réseau social.
Bot Telegram pour enregistrer les conversations dans Clubhouse
L’autre jour, un passionné a présenté un bot de télégramme qui vous permet d’ enregistrer des conversations dans le Clubhouse. Travailler avec est extrêmement simple: vous devez envoyer un lien vers une salle de discussion active, après quoi le bot rejoindra la conférence et commencera à enregistrer. A la fin de la conversation, le bot renverra une ou plusieurs pistes audio avec un enregistrement de la conversation.
Le développeur affirme que le bot ne viole pas les règles du réseau social, puisqu’il avertit de la nécessité d’un consentement écrit pour enregistrer la conversation de tous les participants, mais il ne précise pas comment le bot accède à la salle de discussion. Eh bien, au fil du temps, nous découvrirons à quel point les représentants du Clubhouse partagent l’opinion des passionnés.
Club house: sûr ou pas ?
Il n’est pas encore possible de répondre sans équivoque à cette question – le réseau social n’a fait que gagner en popularité, et il ne doit être testé que par le temps. Comme pour tout problème, il y a deux faces à la médaille: d’une part, il y a de nombreuses questions non seulement sur la politique de confidentialité, mais aussi sur la protection des données ; d’autre part, l’entreprise répond rapidement aux problèmes émergents et les résout en peu de temps.
Sur la base des informations disponibles, Clubhouse peut être utilisé pour les loisirs – pour écouter des conférenciers intéressants et peut-être même participer à une conversation sur des sujets d’intérêt. Dans le même temps, il est déconseillé d’utiliser ce réseau social pour des activités professionnelles, car malgré la résolution rapide des problèmes émergents, il y en a encore suffisamment – ce qui signifie que l’entreprise ne peut garantir la sécurité de vos conversations ou de vos données.