martedì, Dicembre 10, 2024

Violate le chat di Clubhouse: preoccupazioni sulla sicurezza

Una settimana dopo che la popolare app di chatroom audio Clubhouse aveva dichiarato che stava adottando misure per garantire che i dati degli utenti non potessero essere rubati da hacker o spie dannosi, almeno un aggressore ha dimostrato che l’audio live della piattaforma può essere sottratto.

Un utente non identificato è stato in grado di trasmettere in streaming i feed audio di Clubhouse questo fine settimana da “più stanze” al proprio sito Web di terze parti, ha affermato Reema Bahnasy, portavoce di Clubhouse. Mentre la società afferma di essere “bandito in modo permanente” quel particolare utente e ha installato nuove “protezioni” per evitare che si ripeta, i ricercatori sostengono che la piattaforma potrebbe non essere in grado di fare tali promesse.

Gli utenti dell’app iOS solo su invito dovrebbero presumere che tutte le conversazioni vengano registrate, ha dichiarato domenica in tarda serata lo Stanford Internet Observatory, che è stato il primo a sollevare pubblicamente problemi di sicurezza il 13 febbraio. “Clubhouse non può fornire alcuna promessa sulla privacy per le conversazioni tenute in tutto il mondo”, ha affermato Alex Stamos, direttore del SIO ed ex capo della sicurezza di Facebook Inc.

Stamos e il suo team sono stati anche in grado di confermare che Clubhouse si affida a una startup con sede a Shanghai chiamata Agora Inc. per gestire gran parte delle sue operazioni di back-end. Mentre Clubhouse è responsabile della sua esperienza utente, come l’aggiunta di nuovi amici e la ricerca di stanze, la piattaforma si affida all’azienda cinese per elaborare il traffico dati e la produzione audio, ha affermato.

La dipendenza di Clubhouse da Agora solleva vaste preoccupazioni sulla privacy, in particolare per i cittadini cinesi e i dissidenti che hanno l’impressione che le loro conversazioni siano al di fuori della portata della sorveglianza statale, ha detto Stamos.

Agora ha affermato di non poter commentare i protocolli di sicurezza o privacy di Clubhouse e ha insistito sul fatto che non “archivia o condivide informazioni di identificazione personale” per nessuno dei suoi clienti, di cui Clubhouse è solo uno. “Ci impegniamo a rendere i nostri prodotti il ​​più sicuri possibile”, ha affermato la società.

Durante il fine settimana, gli esperti di sicurezza informatica hanno notato che audio e metadati venivano trasferiti da Clubhouse a un altro sito. “Un utente ha impostato un modo per condividere in remoto i propri dati di accesso con il resto del mondo”, ha affermato Robert Potter , amministratore delegato di Internet 2.0 con sede a Canberra, in Australia. “Il vero problema era che la gente pensava che queste conversazioni fossero mai private.”

Il colpevole dietro il furto audio del fine settimana ha costruito il proprio sistema attorno al toolkit JavaScript utilizzato per compilare l’applicazione Clubhouse. Hanno effettivamente truccato la piattaforma con giuria, ha detto Stamos. Il SIO ha affermato di non determinare l’origine o l’identità degli aggressori.

Anche se Clubhouse ha rifiutato di spiegare quali misure ha preso per prevenire una violazione simile, le soluzioni possono includere impedire l’uso di applicazioni di terze parti per accedere all’audio della chat room senza entrare effettivamente in una stanza o semplicemente limitare il numero di stanze in cui un utente può entrare contemporaneamente, ha detto Jack Cable, ricercatore del SIO.

Una settimana fa, il SIO ha pubblicato un rapporto in cui afferma di aver osservato i metadati di una chatroom del Clubhouse “inoltrati a server che riteniamo siano ospitati” in Cina. Gli obblighi di Agora nei confronti delle leggi cinesi sulla sicurezza informatica significano che sarebbe legalmente obbligato a fornire assistenza nella localizzazione dell’audio qualora il governo affermasse che avrebbe compromesso la sicurezza nazionale.

Clubhouse ha recentemente raccolto $ 100 milioni a una valutazione dichiarata di $ 1 miliardo. L’Agorà è aumentata di oltre il 150% da metà gennaio. Ora vale quasi $ 10 miliardi.

All’inizio di febbraio, gli utenti di Clubhouse in Cina hanno dichiarato di non essere in grado di accedere all’app dopo un’esplosione di discussioni da parte degli utenti della terraferma su argomenti tabù da Taiwan allo Xinjiang. Per ora, sembra che gli utenti possano ancora accedere all’app utilizzando reti private virtuali, uno dei pochi modi in cui le persone nella Cina continentale possono esplorare Internet oltre il Great Firewall.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: