Эксперты установили, насколько (не)защищенными являются чаты Clubhouse

Эксперты установили, насколько (не)защищенными являются чаты Clubhouse

Недостаточная защита данных в приложении для общения по аудио Clubhouse может подвести пользователей в КНР «под статью».

Ранее в этом месяце приложение для общения по аудио Clubhouse стремительно набрало популярность среди китайских пользователей. Специалисты Стэнфордского университета решили узнать, как Clubhouse защищает данные своих пользователей и на примере приложения объяснить , почему это важно.

На прошлой неделе китайские власти заблокировали на территории страны разработанное в Кремниевой долине приложение Clubhouse. Причиной блокировки послужил тот факт, что приложение стало площадкой для обсуждения табуированных тем, в частности студенческих протестов в Пекине в 1989 году, также известных как «бойня на площади Таньаньмэнь», и лагерей перевоспитания в Синьцзяне, где без суда и следствия принудительно содержатся граждане, исповедующие ислам. Обсуждение этих тем в Китае запрещено и квалифицируется как уголовное преступление. Поэтому в короткий промежуток времени, пока Clubhouse еще не было заблокировано, китайские пользователи переживали за сохранность своих разговоров. Они опасались возможного перехвата коммуникаций китайскими властями и последующей за этим расправы.

По словам специалистов Стэнфордского университета, опасения пользователей оказались небеспочвенными. Во-первых, бэкенд-инфраструктуру Clubhouse предоставлял шанхайский провайдер ПО для общения в реальном времени Agora. Во-вторых, уникальные идентификаторы пользователей и чатрумов передавались в незашифрованном виде, а у Agora предположительно был доступ к аудио пользователей. А если доступ был у провайдера, то он потенциально был и у китайских властей.

Поскольку компания Agora находится и в США, и Китае, на нее распространяется закон КНР о кибербезопасности. В своем заявлении в Комиссию по ценным бумагам и биржам США компания признала, что от нее потребуется «предоставлять помощь и поддержку в соответствии с законодательством», включая защиту национальной безопасности и уголовные расследования. Если китайское правительство определит, что аудиосообщение угрожает национальной безопасности, Agora по закону обязана помогать правительству в его обнаружении и хранении.

Специалисты Стэнфордского университета обнаружили как минимум один случай передачи метаданных чатрума на серверы в Китае, а также передачи аудио на серверы, управляемые китайскими организациями. Более того, в Clubhouse существует возможность связать идентификатор пользователя с его профилем.

Специалисты решили раскрыть эти проблемы безопасности, потому что их относительно легко обнаружить, и они представляют непосредственную угрозу безопасности миллионов пользователей Clubhouse, особенно в Китае. Исследователи обнаружили и другие уязвимости, о которых в частном порядке сообщили Clubhouse и раскроют публично, когда они будут исправлены или после установленного срока.


Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.