Os bate-papos do clube são vulneráveis ​​e levantam questões de segurança

Uma semana depois que o popular aplicativo de bate-papo de áudio Clubhouse disse que estava tomando medidas para evitar o roubo de dados do usuário, pelo menos um invasor provou que pode publicar áudio ao vivo da plataforma.

Jakub Porzycki / NurPhoto / Getty Images

Um usuário desconhecido foi capaz de transmitir streams de áudio do Clubhouse neste fim de semana de “muitas salas” para seu site de terceiros, disse a porta-voz do Clubhouse, Reema Bahnasy. Enquanto a empresa disse que “bloqueou permanentemente” esse usuário em particular e introduziu novas medidas de segurança para evitar que isso acontecesse, os pesquisadores especulam que a plataforma é simplesmente incapaz de fazer tais promessas.

Os usuários do aplicativo exclusivo para iOS até agora precisam se comunicar com a expectativa de que todas as conversas sejam gravadas, de acordo com pesquisadores do Stanford Internet Observatory (SIO), que pela primeira vez expressou publicamente as preocupações com segurança em 13 de fevereiro. “O Clubhouse não pode fazer nenhuma promessa sobre a confidencialidade das conversas mantidas em qualquer lugar do mundo”, disse Alex Stamos, diretor da SIO e ex-chefe de segurança do Facebook.

Ele e sua equipe também puderam confirmar que o Clubhouse depende de uma startup sediada em Xangai, chamada Agora, para realizar a maioria de suas operações internas. Enquanto o Clubhouse é responsável pela experiência do usuário (adicionar novos amigos, encontrar quartos e assim por diante), a plataforma em si depende de uma empresa chinesa para lidar com todo o tráfego de dados e som, disse ele. De acordo com Stamos, a dependência do Clubhouse do Agora levanta sérias questões de privacidade, especialmente para cidadãos chineses e dissidentes que sentem que suas conversas estão fora do alcance do estado.

Agora disse que não poderia comentar sobre os protocolos de segurança ou privacidade do Clubhouse e insistiu que não armazenou ou compartilhou informações pessoais com nenhum de seus clientes (o Clubhouse é apenas um de muitos). “Nós nos esforçamos para tornar nossos produtos o mais seguros possível”, disse a empresa. Os especialistas da SIO argumentam que, de acordo com a lei chinesa, o Agora é obrigado a ajudar o governo a espionar e analisar as fitas se as autoridades considerarem isso uma questão de segurança nacional.

Seu senhor

No fim de semana, especialistas em segurança cibernética notaram que áudio e metadados do Clubhouse estavam sendo publicados em outro site. “O usuário configurou a capacidade de compartilhar remotamente seu login com o resto do mundo”, disse Robert Potter, CEO da Internet 2.0 da capital australiana. “O principal problema é que as pessoas pensam que todas as suas conversas por meio desse serviço são confidenciais.”

O culpado do roubo de áudio no fim de semana construiu seu próprio sistema baseado no kit de ferramentas JavaScript que foi usado para compilar o aplicativo Clubhouse. De acordo com o Sr. Stamos, ele efetivamente falsificou a plataforma. A SIO disse que não identificou a origem ou identidade dos atacantes.

Enquanto o Clubhouse se recusou a explicar quais etapas foram tomadas para evitar isso, as soluções podem incluir impedir que aplicativos de terceiros acessem o áudio do chat sem realmente entrar em uma sala ou simplesmente limitar o número de salas que um usuário pode entrar simultaneamente.

O Clubhouse agora está avaliado em US $ 0 bilhões e recentemente levantou US $ 00 milhões em investimentos. No início de fevereiro, os usuários do Clubhouse na China continental disseram que não conseguiram acessar o aplicativo após um aumento nas discussões de tópicos tabu de Taiwan a Xinjiang. Por enquanto, no entanto, o aplicativo na China pode ser acessado via VPN.