secretmag.ru
Опубликовано 14 февраля 2021, 16:05

В Clubhouse нашли лазейку для утечки данных пользователей в Китай

В набирающей популярность социальной сети Clubhouse нашли уязвимость. По мнению американских специалистов, она позволяет властям Китая получить доступ к данным пользователей. Ранее китайцы облюбовали Clubhouse как раз из-за видимости отсутствия контроля правительства и цензуры.

В Clubhouse нашли лазейку для утечки данных пользователей в Китай

Данные об уязвимости в голосовой соцсети опубликовал Центр по изучению интернета Stanford Internet Observatory (SIO). Она представляет риск прежде всего для пользователей из материкового Китая, необработанные данные которых могут стать достоянием правительства.

SIO подтвердил слухи о том, что «платформу взаимодействия с голосом и видео в реальном времени», как и серверную инфраструктуру для Clubhouse, предоставляет шанхайский стартап Agora Inc., чьи офисы находятся также в Кремниевой долине. Изучив методы защиты данных, специалисты Центра по изучению интернета обнаружили, что ID пользователей передаются в виде открытого текста, что делает их перехват «довольно тривиальным».

«Любой пользователь интернета может легко сопоставить идентификаторы в общих чатах, чтобы увидеть, кто с кем разговаривает», — указали аналитики.

Исследователи также сумели зафиксировать, как метаданные из чата в Clubhouse ретранслируются на серверы, которые, по их предположению, находятся в Китае. А это значит, что любые незашифрованные данные становятся доступны правительству КНР, сделали вывод в SIO.

Речь идёт не только об ID, но и о необработанных звуковых файлах пользователей. По китайским законам, Agora не только обязана предоставлять доступ к незашифрованной информации властям, но и должна помогать правительству в обнаружении звуковых сообщений, которые «ставят под угрозу национальную безопасность».

Ранее компания заверила SIO, что использует аудио и метаданные своих пользователей «только для мониторинга качества сети и выставления счетов клиентам». В связи с этим Agora настояла на том, что никакой информации, которую потенциально мог бы запросить Пекин, не имеет, тогда как сами файлы с голосовыми сообщениями хранятся на серверах в США.

После того как стало известно об уязвимости, руководство Clubhouse пообещало в течение трёх дней добавить «дополнительное шифрование», чтобы аудиосообщения пользователей никогда не попадали на китайские серверы. Для проверки эффективности новых мер компания задействует стороннюю службу кибербезопасности.

Между тем 8 февраля тысячи китайских пользователей обнаружили, что у них больше нет доступа к Clubhouse без VPN. Китайское правительство заблокировало эту соцсеть, обнаружив, что граждане КНР обсуждают там табуированные темы, такие как независимость Тайваня и притеснение уйгуров в Синьцзяне.

Приложение Clubhouse запустилось в марте 2020 года в США. Его популярность резко выросла после привлечения известных людей, в том числе Илона Маска и Опры Уинфри. В начале января в Clubhouse провёл трансляцию глава Facebook Марк Цукерберг — там он порассуждал на тему развития технологий виртуальной и дополненной реальности.

На фоне повышенного интереса к новой платформе стартап привлёк $100 млн, а сам проект оценили в $1 млрд. Акции Agora с середины января выросли более чем на 150%, подняв капитализацию технологической компании до $11 млрд.

Фото: Wikimedia, CC BY-SA 4.0

Откроем важный секрет: всё самое интересное — в нашем телеграме.