Разработчики приложения для аудиочатов Clubhouse планируют добавить дополнительное шифрование — после того, как исследователи из Стэнфорда заявили, что обнаружили уязвимости в его инфраструктуре.
На прошлой неделе китайские власти заблокировали на территории страны разработанное в Кремниевой долине приложение Clubhouse. Причиной блокировки послужил тот факт, что приложение стало площадкой для обсуждения табуированных тем. На территории КНР это квалифицируется как уголовное преступление. Пока Clubhouse еще не было заблокирован, пользователи переживали за сохранность своих разговоров. По словам экспертов Стэнфордского университета, опасения были ненапрасными.
В новом отчете Stanford Internet Observatory (SIO) говорится, что бэкенд-инфраструктуру Clubhouse предоставлял шанхайский провайдер ПО для общения в реальном времени Agora. Кроме того, эксперты SIO обнаружили, что уникальные идентификаторы пользователей и чатрумов передавались в незашифрованном виде. Как сообщают представители SIO в Twitter, это повод «забеспокоиться» миллионам пользователям, особенно из Китая.
Исследователи SIO обнаружили, что метаданные из комнат Clubhouse ретранслируются на серверы, которые находятся Китайской Народной Республике. У Agora предположительно был доступ к аудио пользователей, а данные отправлялись «на серверы, управляемые китайскими организациями и распространяемые по всему миру». Поскольку Agora является китайской компанией, по закону о кибербезопасности она должна будет помочь правительству искать и сохранять аудиосообщения, если местные власти заявят, что они представляют угрозу национальной безопасности. В своем заявлении в Комиссию по ценным бумагам и биржам США компания признала, что от нее потребуется «предоставлять помощь и поддержку в соответствии с законодательством», включая защиту национальной безопасности и уголовные расследования.
Специалисты Стэнфордского университета обнаружили как минимум один случай передачи метаданных комнат на серверы в Китае, а также передачи аудио на серверы, управляемые китайскими организациями. Более того, в Clubhouse существует возможность связать идентификатор пользователя с его профилем.
В ответ Agora сообщила SIO, что не хранит пользовательские аудио или метаданные, кроме как для мониторинга качества сети и выставления счетов своим клиентам. Пока аудио хранится на серверах в США, китайское правительство не сможет получить доступ к данным. Кроме того, Agora пообещала, что наймет внешнюю фирму по обеспечению безопасности.
В свою очередь, Alpha Exploration (компания-создатель приложения Clubhouse) сообщила SIO, что собирается внести изменения в свою работу, введя дополнительное шифрование данных. Теоретически Китаю будет труднее отслеживать активность пользователей.
Clubhouse — приложение, предназначенное только для iOS и предназначенное только для прослушивания аудио в реальном времени.
Читать далее
Аборты и наука: что будет с детьми, которых родят
Посмотрите на самые красивые снимки «Хаббла». Что увидел телескоп за 30 лет?
Шельф Бранта в Антарктиде разрушается со скоростью 5 метров в сутки
Каждая комната в Clubhouse — это групповой аудиочат в реальном времени.