Эксперты установили, насколько (не)защищенными являются чаты Clubhouse

Пн 15 Февраль 2021 07:57

Ранее в этом месяце приложение для общения по аудио Clubhouse стремительно набрало популярность среди китайских пользователей. Специалисты Стэнфордского университета решили узнать, как Clubhouse защищает данные своих пользователей и на примере приложения объяснить , почему это важно.

На прошлой неделе китайские власти заблокировали на территории страны разработанное в Кремниевой долине приложение Clubhouse. Причиной блокировки послужил тот факт, что приложение стало площадкой для обсуждения табуированных тем, в частности студенческих протестов в Пекине в 1989 году, также известных как «бойня на площади Таньаньмэнь», и лагерей перевоспитания в Синьцзяне, где без суда и следствия принудительно содержатся граждане, исповедующие ислам. Обсуждение этих тем в Китае запрещено и квалифицируется как уголовное преступление. Поэтому в короткий промежуток времени, пока Clubhouse еще не было заблокировано, китайские пользователи переживали за сохранность своих разговоров. Они опасались возможного перехвата коммуникаций китайскими властями и последующей за этим расправы.

По словам специалистов Стэнфордского университета, опасения пользователей оказались небеспочвенными. Во-первых, бэкенд-инфраструктуру Clubhouse предоставлял шанхайский провайдер ПО для общения в реальном времени Agora. Во-вторых, уникальные идентификаторы пользователей и чатрумов передавались в незашифрованном виде, а у Agora предположительно был доступ к аудио пользователей. А если доступ был у провайдера, то он потенциально был и у китайских властей.

Поскольку компания Agora находится и в США, и Китае, на нее распространяется закон КНР о кибербезопасности. В своем заявлении в Комиссию по ценным бумагам и биржам США компания признала, что от нее потребуется «предоставлять помощь и поддержку в соответствии с законодательством», включая защиту национальной безопасности и уголовные расследования. Если китайское правительство определит, что аудиосообщение угрожает национальной безопасности, Agora по закону обязана помогать правительству в его обнаружении и хранении.

Специалисты Стэнфордского университета обнаружили как минимум один случай передачи метаданных чатрума на серверы в Китае, а также передачи аудио на серверы, управляемые китайскими организациями. Более того, в Clubhouse существует возможность связать идентификатор пользователя с его профилем.

Специалисты решили раскрыть эти проблемы безопасности, потому что их относительно легко обнаружить, и они представляют непосредственную угрозу безопасности миллионов пользователей Clubhouse, особенно в Китае. Исследователи обнаружили и другие уязвимости, о которых в частном порядке сообщили Clubhouse и раскроют публично, когда они будут исправлены или после установленного срока.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 131 день 11 часов 6 минут 17 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.