Clubhouse: що з приватністю, як записати розмову і до чого тут Китай
За останні кілька тижнів соціальна мережа Clubhouse стала однією з найбільш обговорюваних не тільки у світі, а й у рунеті: Ілон Маск запрошує поспілкуватися Володимира Путіна, Марк Цукерберг наказав створити аналогічну соціальну мережу, а Володимир Соловйов погрожує відривати голови біоніклам через отримання бана.
Проте цей шалений успіх загрожує обернутися абсолютним провалом, адже разом із увагою широкої публіки мережа викликала інтерес фахівців з інформаційної безпеки. І, як виявилося, інтерес небезпідставний.
Передача особистих даних на сервери у КНР
Команда інтернет-обсерваторії Стенфордського університету виявила зв’язок між соціальною мережею та шанхайським стартапом. Як виявилось, Clubhouse використовує інфраструктуру платформи Agora для спілкування в реальному часі, що насторожило дослідників. Більше того, у політиці конфіденційності соціальної мережі немає й слова про співпрацю зі згаданим стартапом.
Більш детальний аналіз привів до значних результатів – унікальні ID користувача та кімнати відправляються на сервери Agora незашифрованими, причому сервери отримують дані незалежно від фізичного розташування користувачів. Виявлено це було під час перевірки, під час якої у кімнаті були лише американські користувачі Clubhouse.
На підставі даних дослідження фахівці припускають, що крім інформації користувача Agora може мати доступ і до аудіозаписів розмов, але підтвердити це їм не вдалося.
Реакція Clubhouse на дослідження не забарилася: керівництво запевняє, що конфіденційність розмов є одним із пріоритетів соціальної мережі, при цьому не визнає проблеми з безпекою, віддаючи перевагу формулюванню «області для покращення». Проте компанія пообіцяла усунути проблеми у короткий термін, а для перевірки найняти незалежних експертів з інформаційної безпеки.
Здавалося б, інцидент вичерпано – проблеми усунуті, аудіозаписи розмов у безпеці… І справді так тільки здавалося.
Хакерам вдалося записати розмови у кімнатах Clubhouse
Звичайно, будь-який просунутий користувач соціальної мережі може записати розмову в кімнаті, в якій знаходиться – програм для запису розмов вистачає. Хакери пішли далі: замість запису розмови в окремій кімнаті, їм вдалося вивести аудіострім з декількох кімнат одночасно на свій веб-ресурс.
Практично одночасно з ними китайський користувач написав код, який дозволяє будь-кому слухати діалоги в Clubhouse без запрошення, і виклав його на GitHub.
Як і в попередньому випадку, Clubhouse спрацювали оперативно: уразливості усунули всього за день, а користувача, який виводив аудіострім, забанили. Однак невідомо як довго цими вразливими могли користуватися інші хакери.
Примітно, що новий скандал спровокував більше обговорень: виконавчий директор консалтингової фірми у сфері захисту даних PIX LLC заявив, що Clubhouse не приділили належної уваги політиці конфіденційності – адже програма збирає не лише персональну інформацію, а й список контактів. Більше того, Clubhouse вимагає доступу до інформації облікового запису в Twitter, при цьому ніяк не пояснює таку необхідність.
У результаті фахівці висунули безліч претензій до захисту даних користувачів та конфіденційності розмов, але більшість з них не становлять значної небезпеки. А ось інтерес, який прикував до себе Clubhouse задарма не минає, і ентузіасти створюють нові способи обходу захисту соціальної мережі.
Телеграм-бот для запису розмов у Clubhouse
Днями ентузіаст представив телеграм-бот, який дозволяє записувати розмови у Clubhouse. Робота з ним виключно проста: потрібно відправити посилання на активну чат-кімнату, після чого бот приєднається до конференції та розпочне запис. Після закінчення розмови бот надішле у відповідь один або кілька звукових доріжок із записом розмови.
Розробник стверджує, що бот не порушує правила соціальної мережі, оскільки попереджає необхідність письмової згоди запису розмови від усіх учасників, проте при цьому не уточнюється, яким чином бот отримує доступ до чат-кімнати. Що ж, згодом дізнаємось, наскільки представники Clubhouse поділяють думку ентузіаста.
Clubhouse: безпечно чи ні?
Однозначно відповісти на це питання поки що не можна – соціальна мережа тільки набула популярності, і їй тільки доведеться перевірити часом. Як і в будь-якому питанні, є дві сторони медалі: з одного боку – безліч питань не лише до політики конфіденційності, а й фактичного захисту даних; з іншого – компанія оперативно реагує на проблеми, що виникають, і вирішує їх у короткі терміни.
Виходячи з наявної інформації, Clubhouse можна використовувати для дозвілля – послухати цікавих спікерів, а може навіть взяти участь у розмові з питань, що цікавлять. У той же час використовувати дану соціальну мережу для професійної діяльності не рекомендується, оскільки незважаючи на швидке вирішення проблем, що їх виникають, їх все ще вистачає – а значить і гарантувати безпеку ваших розмов або даних компанія не може.