Nelle ultime settimane il social network Clubhouse è diventato uno dei più discussi non solo al mondo, ma anche in Runet: Elon Musk invita Vladimir Putin a chattare, Mark Zuckerberg ha ordinato la creazione di un social simile e Vladimir Solovyov minaccia di strappare le teste dei bionici perché è stato bandito.
Tuttavia, questo clamoroso successo rischia di trasformarsi in un fallimento assoluto, perché, insieme all’attenzione del grande pubblico, la rete ha suscitato l’interesse degli specialisti della sicurezza informatica. E, come si è scoperto, l’interesse non è infondato.
Trasferimento di dati personali a server in Cina
Un team dell’Osservatorio Internet della Stanford University ha scoperto una connessione tra un social network e una startup con sede a Shanghai. Come si è scoperto, Clubhouse utilizza l’infrastruttura della piattaforma Agora per la comunicazione in tempo reale, che ha allertato i ricercatori. Inoltre, nell’informativa sulla privacy del social network non si parla di collaborazione con la suddetta startup.
Un’analisi più dettagliata ha portato a risultati significativi: gli ID utente e le stanze univoci vengono inviati ai server Agora non crittografati e i server ricevono i dati indipendentemente dalla posizione fisica degli utenti. Questo è stato scoperto durante un controllo in cui erano presenti nella stanza solo utenti di US Clubhouse.
Sulla base dei dati della ricerca, gli esperti suggeriscono che, oltre alle informazioni sugli utenti, Agora potrebbe avere accesso alle registrazioni audio delle conversazioni, ma non sono stati in grado di confermarlo.
La reazione di Clubhouse allo studio non si è fatta attendere: il management assicura che la privacy delle conversazioni è una delle priorità del social network, pur non riconoscendo problemi di sicurezza, preferendo la dicitura "aree di miglioramento". Tuttavia, la società ha promesso di risolvere i problemi in breve tempo e di assumere esperti indipendenti di sicurezza delle informazioni per verificare.
Sembrerebbe che l’incidente sia stato risolto: i problemi sono stati eliminati, le registrazioni audio delle conversazioni sono al sicuro … E in effetti sembrava solo così.
Gli hacker sono riusciti a registrare le conversazioni nelle stanze della Clubhouse
Naturalmente, qualsiasi utente avanzato di un social network può registrare una conversazione nella stanza in cui si trova: ci sono abbastanza applicazioni per registrare le conversazioni. Gli hacker sono andati oltre: invece di registrare una conversazione in una stanza separata, sono riusciti a portare il flusso audio da più stanze contemporaneamente alla loro risorsa web.
Quasi contemporaneamente a loro, un utente cinese ha scritto un codice che permette a chiunque di ascoltare i dialoghi nella Clubhouse senza invito, e lo ha pubblicato su GitHub.
Come nel caso precedente, Clubhouse ha funzionato rapidamente: le vulnerabilità sono state corrette in un solo giorno e l’utente che ha emesso il flusso audio è stato bannato. Tuttavia, non è noto per quanto tempo queste vulnerabilità potrebbero essere sfruttate da altri hacker.
È interessante notare che il nuovo scandalo ha provocato ulteriori discussioni: l’amministratore delegato della società di consulenza sulla protezione dei dati PIX LLC ha affermato che Clubhouse non ha prestato la dovuta attenzione all’informativa sulla privacy, poiché l’applicazione raccoglie non solo informazioni personali, ma anche un elenco di contatti. Inoltre, Clubhouse richiede l’accesso alle informazioni dell’account Twitter, ma non spiega in alcun modo questa necessità.
Di conseguenza, gli specialisti hanno avanzato molte affermazioni sulla protezione dei dati degli utenti e sulla riservatezza delle conversazioni, ma la maggior parte di esse non rappresenta un pericolo significativo. Ma l’interesse che ha attirato Clubhouse non va invano e gli appassionati creano sempre più nuovi modi per aggirare la protezione del social network.
Bot di Telegram per la registrazione delle conversazioni in Clubhouse
L’altro giorno un appassionato ha introdotto un bot di Telegram che permette di registrare le conversazioni nella Clubhouse. Lavorare con esso è estremamente semplice: è necessario inviare un collegamento a una chat room attiva, dopodiché il bot si unirà alla conferenza e inizierà a registrare. Al termine della conversazione, il bot restituirà una o più tracce audio con una registrazione della conversazione.
Lo sviluppatore afferma che il bot non viola le regole del social network, poiché avverte della necessità del consenso scritto per registrare la conversazione da parte di tutti i partecipanti, ma non specifica come il bot ottiene l’accesso alla chat room. Ebbene, col tempo scopriremo quanto i rappresentanti di Clubhouse condividano l’opinione dell’appassionato.
Clubhouse: sicuro o no?
Non è ancora possibile rispondere inequivocabilmente a questa domanda: il social network ha solo guadagnato popolarità ed è solo da testare nel tempo. Come per ogni questione, ci sono due facce della medaglia: da un lato, ci sono molte domande non solo sulla politica della privacy, ma anche sull’effettiva protezione dei dati; dall’altro l’azienda risponde prontamente ai problemi emergenti e li risolve in tempi brevi.
Sulla base delle informazioni disponibili, Clubhouse può essere utilizzato per il tempo libero – per ascoltare relatori interessanti e magari anche per partecipare a una conversazione su questioni di interesse. Allo stesso tempo, non è consigliabile utilizzare questo social network per attività professionali, perché nonostante la rapida risoluzione dei problemi emergenti, ce ne sono ancora abbastanza, il che significa che l’azienda non può garantire la sicurezza delle tue conversazioni o dei tuoi dati.