Nad sociálnou sieť Clubhouse sa zhlukujú mračná. Dôvodom sú obavy, ako sociálna sieť pracuje s dátami používateľov
SIO upozorňuje na riziká spojené s používaním sociálnej siete Clubhouse.
Sociálna sieť Clubhouse posledné týždne raketovo rastie, a to aj napriek tomu, že ak sa chcete stať jej členom, tak potrebuje pozvánku. Ide o sociálnu sieť, ktorá je založená na digitálnych diskusiách. O to viac sú znepokojivé zistenia bezpečnostných analytikov zo Stanford Internet Observatory (SIO), na ktoré upozorňuje spravodajský portál Bloomberg.
Kameňom úrazu má byť technológia spoločnosti Agora Inc., ktorá poskytuje back-endovú infraštruktúru, vďaka ktorej dochádza k prenosu videa, či hlasu v reálnom čase.
Služba obsahuje viacero bezpečnostných dier
Zistenia analytikov odhaľujú, že služba obsahuje viacero nebezpečných zraniteľností. Jednou z nich napríklad je, že sieť prenáša unikátne identifikátory používateľov v textovej podobe, ktoré nie sú nijako zvlášť zabezpečené, či šifrované.
Čerešničkou na torte podľa zistení je podozrivý tok dát, ktorý končí na serveroch spoločnosti Agora. Týka sa to aj samotných audio nahrávok z konverzácií. Inými slovami to znamená, že spoločnosť má podľa zistení pravdepodobne prístup aj k „surovým“ zvukovým nahrávkam. Tu treba spomenúť, že vzhľadom na to, že ide o čínsku spoločnosť, tak je podriadenou aj lokálnej legislatíve (pozn. redakcie: v prípade serverov hostených na území Číny). Tá totiž umožňuje jednotlivým spoločnostiam nariadiť, aby v ich mene získavali informácie, resp. aby spoločnosť sprístupnila požadované informácie a dáta.
„Analýza SIO dokumentácie platformy Agory tiež odhalila, že Agora by pravdepodobne mala prístup k surovému zvukovému prenosu Clubhouse. Okrem blokovania end-to-end šifrovania (E2EE), môže byť zvuk zachytený, prepisovaný a inak ukladaný spoločnosťou Agora. Je mimoriadne nepravdepodobné, že by Clubhouse implementoval šifrovanie E2EE.“ píše SIO v publikovanej správe.
SIO dokonca hovorí, že sú presvedčení, že všetky nezašifrované údaje, ktoré sa doposiaľ prenášali prostredníctvom serverov v ČĽR (Čínska ľudová republika), boli potenciálne pre čínsku vládu dostupnými. Odôvodňuje to tým, že aj samotnej SIO sa podarilo sledovať prenos metadát medzi servermi. Rovnako ďalej SIO dodáva, že ak dáta boli uložené na serveroch v USA, tak je nepravdepodobné, že by k ním mal prístup Peking. Druhým dychom však dodáva, že minimálne v jednom prípade sa podarilo SIO identifikovať tok metadát smerom na serveri hostené v Číne.
Neprehliadnite
📢 New work out today from our Tech team & China research team: @joinClubhouse app recently became popular in 🇨🇳. We looked at its data security practices & found a potential risk to mainland Chinese users.
Here are our key findings 👋🧵⤵️
(1/8)
— Stanford Internet Observatory (@stanfordio) February 13, 2021
Agora odmieta tvrdenia SIO
Spoločnosť Agora však odmieta, že by používatelia boli vystavení nejakému riziku. Rovnako aj odmieta, že by mala prístup k osobným údajom, či iným dátam ako je napríklad hlasový prenos.
„…nemáme prístup k zdieľaniu ani ukladaniu osobných údajov koncových používateľov. Hlasový alebo obrazový prenos od používateľov mimo Číny – vrátane používateľov z USA – sa nikdy nesmeruje cez Čínu.“
Komentáre