3

Chiński rząd może podsłuchiwać Wasze rozmowy na Clubhouse. Platforma łata zabezpieczenia

Szał na Clubhouse trwa, okazuje się jednak, że platforma może być podsłuchiwana przez chiński rząd. Niestety chodzi o sam projekt usługi, który może nie jest dziurawy, ale zastosowane algorytmy budzą duże wątpliwości w zakresie prywatności rozmów.

Czym jest Clubhouse?

Clubhouse to podobno hit internetu. Platforma podchodzi do kontaktów międzyludzkich zupełnie inaczej niż inne popularne miejsca w sieci, stawiając na audio oraz rozmowy w czasie rzeczywistym. Jeśli chcecie dowiedzieć się o niej więcej, Konrad starał się wyjaśnić fenomen Clubhouse w swoim niedawnym wpisie na Antyweb. Ja z uwagi na przesyt serwisów społecznościowych i chęć ograniczenia czasu w nich spędzanego, raczej odpuszczę. Jak to jednak niestety w przypadku zyskujących na popularności platform bywa, prędzej czy później okazuje się, że bezpieczeństwo nie jest idealne albo ciężko o zachowanie pełnej prywatności.

Badacze ze Stanford Internet Observatory twierdzą, że sposób funkcjonowania cały czas zyskującej na popularności platformy Clubhouse może prowadzić do wycieku nagrań umieszczonych w usłudze. Clubhouse bazuje na chińskiej platformie Agora, która obsługuje dla nich konwersacje audio. Kiedy użytkownik dołącza do kanału w usłudze, wysyłany jest pakiet metadanych, który zawiera clubhousowe ID oraz ID pokoju rozmów. Dane nie są zaszyfrowane, ma więc do nich dostęp każde zewnętrzne oprogramowanie monitorujące ruch sieciowy. Można więc łatwo sprawdzić czy konkretni użytkownicy ze sobą rozmawiają, bazując na tym, że dołączyli do jednego kanału rozmów. SIO uważa również, że Agora może mieć dostęp do surowych nagrań audio wszystkich użytkowników Clubhouse i nikt tak naprawdę nie wie, czy są one przez firmę przechowywane. Agora nie wyjaśnia ponadto czy aby na pewno wszystkie rozmowy użytkowników platformy są w pełni szyfrowane.

Dlaczego to istotne? Sama Agora przyznała, że musi przestrzegać chińskiego prawa dotyczącego cyberbezpieczeństwa i będzie zobowiązania do udzielania Chinom pomocy oraz wsparcia w sprawach związanych z bezpieczeństwem i sprawami karnymi.

Gdyby chiński rząd stwierdził, że obsługiwany przez nas przekaz audio zagraża bezpieczeństwu narodowemu, Agora byłaby prawnie zobowiązana do pomocy rządowi w zlokalizowaniu i przechowywaniu nagrania.

Agora twierdzi jednocześnie, że nie przechowuje ani dźwięku, ani metadanych użytkowników z wyjątkiem działań dotyczących monitorowania jakości sieci i wystawiania rachunków klientom. Widzę tu pewną nieścisłość, bo skoro chińskie prawo nakłada obowiązek pomocy, to jak miałaby się ona odbywać skoro nic nie jest nigdzie gromadzone? Firma zapewnia, że żadne nagrania głosowe czy wideo od użytkowników spoza Chin (w tym użytkowników z USA) nie są i nigdy nie były przesyłane przez chińskie serwery.

Zapewnienia zapewnieniami, ale w teorii chińskie prawo zobowiązuje firmę by dostarczyć odpowiednie informacje rządowi. Dla przypomnienia – Chiny nie są wobec platformy obojętne, kilka dni temu zablokowały u siebie dostęp do Clubhouse, które było tam wykorzystywane do dyskusji między innymi o Tajwanie, Tybecie i Ujgurach.

Clubhouse reaguje na raport i poprawia swoje zabezpieczenia

Zmiany bezpieczeństwa mają być wdrożone w przeciągu 72 godzin. Możemy liczyć na uszczelnienie systemów bezpieczeństwa i prywatności, szczególnie w temacie transmitowania pingów do chińskich serwerów oraz dodatkowego szyfrowania danych aplikacji. Do pomocy została nawet zatrudniona zewnętrzna firma, która oceni wprowadzone zmiany i w razie potrzeby zasugeruje poprawki.

Jestem bardzo ciekawy jak te doniesienia wpłyną na zainteresowanie usługąAa i czy nie zatrzymają napływu nowych użytkowników. A Wy korzystaliście już z Clubhouse, czy raczej omijacie ten serwis szerokim lukiem? W sieci pojawiły się informacje, że sam Facebook zamierza „podkraść” pomysł na serwis i pracuje nad wprowadzeniem podobnych funkcji u siebie. Tak akurat kwestie bezpieczeństwa będą jasne od początku, nie sądzę bowiem by różniły się one od zwykłego Facebooka, Messengera, Instagrama i WhatsAppa, więc przynajmniej będziemy wiedzieć na co się piszemy korzystając z usługi.

źródło