Surgen preocupaciones de seguridad sobre la popular aplicación Clubhouse después de que se revelaran los vínculos con una empresa con sede en China


El Observatorio de World wide web de Stanford alegó que el gobierno chino pudo haber tenido acceso a los datos de audio de Clubhouse. Esto es lo que los usuarios deben saber.

istockhalfpoint.jpg

Getty Images / iStockphoto

Se han expresado preocupaciones sobre la seguridad de los datos de audio en la popular nueva aplicación de redes sociales Clubhouse, según informes del Observatorio de Online de Stanford y Equipo de investigación de amenazas avanzadas de McAfee.

El Centro de Políticas Cibernéticas de Stanford confirmó el 12 de febrero que las herramientas de la empresa Agora, con sede en Shanghái, eran la columna vertebral de Clubhouse, que ha ganado miles de nuevos usuarios en los últimos meses gracias a oradores famosos como Elon Musk, Oprah, Aston Kutcher y otros negocios. líderes.

Además, el observatorio descubrió que «el número de identificación de la casa club y la identificación de la sala de chat exclusivos de un usuario se transmiten en texto sin formato, y es probable que Agora tenga acceso al audio sin procesar de los usuarios, lo que podría brindar acceso al gobierno chino».

VER: Política de protección contra robo de identidad (TechRepublic Quality)

«En al menos un caso, SIO observó que los metadatos de la sala se transmitían a servidores que creemos que están alojados en la (República Well-liked de China) y el audio a servidores administrados por entidades chinas y distribuidos en todo el mundo a través de Anycast», dice el informe. y agregó que las revelaciones fueron particularmente preocupantes para los usuarios en China que pueden enfrentar consecuencias del gobierno por lo que dicen en la aplicación.

Clubhouse no respondió a las solicitudes de comentarios de TechRepublic, pero anteriormente le dijo al Observatorio de Web de Stanford que, debido a las preocupaciones sobre las violaciones de la privacidad de los datos, la compañía inicialmente prohibió la aplicación a los usuarios chinos. Pero la gente en China encontró una solución y estaba usando la aplicación para discutir temas considerados sensibles por el gobierno chino como los campos de concentración uigures en Xinjiang, las protestas de la Plaza Tiananmen de 1989, así como las protestas en Taiwán y Hong Kong.

porcelana prohibió oficialmente la aplicación el 8 de febrero y Clubhouse dijo que está realizando cambios en la aplicación que agregan «cifrado y bloqueos adicionales para evitar que los clientes de Clubhouse transmitan pings a los servidores chinos». También se comprometieron a realizar auditorías externas de seguridad de datos.

Pero antes de que los usuarios de Clubhouse pudieran instalarse, en los días siguientes se revelaron otras posibles violaciones de los datos de la aplicación. El equipo de investigación avanzada de amenazas de McAfee encontró más vulnerabilidades en Agora que la empresa finalmente corrigió.

Portavoz de la casa club Reema Bahnasy reconocido a Bloomberg Information el 21 de febrero, alguien encontró una manera de acceder y transmitir audio desde Clubhouse en otro sitio el fin de semana pasado, lo que generó más preguntas sobre las actualizaciones de seguridad recientes de la aplicación.

El usuario fue baneado y Bahnasy dijo que la aplicación hizo aún más actualizaciones de seguridad, pero Alex Stamos, director del Observatorio de World-wide-web de Stanford, dijo a Bloomberg News que Clubhouse «no puede proporcionar promesas de privacidad para conversaciones sostenidas en cualquier parte del mundo».

Según el informe del Observatorio de Net de Stanford, Agora «proporciona la infraestructura básica para que otras aplicaciones, como Clubhouse, puedan centrarse en el diseño de interfaces, funcionalidades específicas y la experiencia typical del usuario». Otras aplicaciones que usan Agora incluyen eHarmony, Lots of Fish y más.

«Un análisis de SIO de la documentación de la plataforma de Agora también revela que Agora probablemente tendría acceso al tráfico de audio sin procesar de Clubhouse. Salvo el cifrado de extremo a extremo (E2EE), el audio podría ser interceptado, transcrito y almacenado por Agora», dice el informe. dicho.

«Si el gobierno chino determinara que un mensaje de audio pone en peligro la seguridad nacional, Agora estaría legalmente obligada a ayudar al gobierno a localizarlo y almacenarlo. Las conversaciones sobre las protestas de Tiananmen, los campamentos de Xinjiang o las protestas de Hong Kong podrían calificarse como actividad criminal. Se han clasificado antes. »

Cuando el Observatorio de World wide web de Stanford lo presionó sobre las acusaciones, Agora negó haber almacenado audio o metadatos de la aplicación, lo que hace imposible que el gobierno chino lo solicite legalmente. Clubhouse admite en su Política de privacidad que almacena brevemente algunos datos de audio para legislar casos específicos de incitación al odio, pedofilia o terrorismo.

Pero el informe dijo que period posible que el gobierno chino supuestamente pinchara la pink y grabara cualquier audio por sí mismo, y agregó que cualquier dato no cifrado que se abre paso a través de los servidores en China «probablemente sería accesible para el gobierno chino».

«Dado que SIO observó que los metadatos de la sala se transmitían a servidores que creemos que están alojados en la República Preferred China, es probable que el gobierno chino pueda recopilar metadatos sin siquiera acceder a las redes de Agora», dice el informe.

Steve Povolny, jefe de investigación avanzada de amenazas de McAfee, dijo que Clubhouse había parcheado la vulnerabilidad que descubrieron y agregó que las empresas necesitaban aprovechar el poder de la comunidad al acoger a los investigadores y ser proactivos para alentar e incluso adquirir vulnerabilidades a través de la divulgación responsable.

«Además, deben tener un sólido ciclo de vida de desarrollo seguro de extremo a extremo, pruebas y validaciones de terceros, y frecuentes auditorías de código y revisiones de seguridad interna», dijo Povolny.

Los expertos en ciberseguridad no están de acuerdo sobre el impacto de las revelaciones

Hubo una amplia variedad de respuestas de los expertos en ciberseguridad cuando se les preguntó sobre Clubhouse y si period seguro para los usuarios.

Algunos dijeron que las cosas encontradas por el Observatorio de Net de Stanford y otros eran serios y deberían preocupar a cualquiera que use la aplicación para conversaciones sensibles.

Pero otros dijeron que los informes estaban llenos de hipótesis y solo representarían problemas importantes para las personas en China, que de todos modos ya no pueden usar la aplicación.

«Un análisis del artículo de Stanford indica que es necesario que existan muchos &#39si&#39 para que ocurra una tormenta perfecta de problemas de privacidad y seguridad de los datos. La parte interesante de la historia está realmente en el fondo. La declaración oficial de Clubhouse es que eligieron, debido a problemas de privacidad, no para que Clubhouse esté disponible en China, pero los usuarios encontraron una solución «, dijo Karen Walsh, CEO de Allegro Remedies.

«En muchos sentidos, esto es equivalent a cómo los usuarios hacen &#39jailbreak&#39 a un teléfono inteligente para obtener acceso completo a la raíz del sistema operativo y acceder a capacidades adicionales. Este proceso, si bien le brinda al usuario funcionalidades adicionales, también compromete la controles de seguridad. Este deseo de que las personas hagan «jailbreak» a la aplicación, o encuentren una forma de evitar los controles de distribución de aplicaciones de la empresa, muestra cómo los usuarios finales pueden afectar su propia seguridad y privacidad. Ya sea que estos usuarios se den cuenta o no, en realidad terminaron socavando los controles destinados a evitar que el gobierno chino escuche a escondidas «.

Si bien los problemas específicos de Clubhouse parecen haberse abordado, otros expertos en seguridad cuestionaron que este sería un problema mayor en el futuro a medida que las batallas entre países se trasladen cada vez más a Net.

El riesgo potencial de que el proveedor de servicios se vea obligado a ceder el acceso a los datos de sus clientes es genuine, según el CEO de Sotero, Purandar Das.

Ya sea que la presión para hacerlo provenga de un gobierno o de otra parte, este es un riesgo true asociado con los proveedores de servicios y los operadores de plataformas, agregó Das, comparando la situación de Clubhouse / China con la que enfrenta la Unión Europea con el GDPR.

La UE fue obligado a suspender el acuerdo del escudo de privacidad con EE. UU. debido a la preocupación de que los proveedores de EE. UU. se vean obligados a entregar datos de consumidores de la UE al gobierno de EE. UU.

«Desde la perspectiva de un proveedor de servicios, muy a menudo, la oportunidad de monetizar los datos es lo que les permite brindar un servicio gratuito. Ignorando el uso comercial de dichos datos, la violación de la privacidad del consumidor es un problema grave», dijo Das.

«Un enfoque dual de que los proveedores de servicios no puedan usar o ver los datos sin la aprobación explícita del consumidor, junto con la regulación, que permite que el consumidor conserve la propiedad de los datos recopilados es un camino a seguir. Creo que la mayoría de los servicios los proveedores eventualmente estarían de acuerdo en que un proceso habilitado, en el que aún pueden comercializar los datos, pero sin estar en una situación de comprometer la confianza de sus clientes, es bueno «.

Fue alarmante que plataformas como Clubhouse se basan en el aprovechamiento de las prácticas de transferencia de datos burdas que los usuarios aceptan cuando instalan estas aplicaciones, según Burak Agca, ingeniero de la compañía de ciberseguridad Lookout.

Agca trazó paralelismos con la controversia que rodeó a TikTok el año pasado cuando el expresidente Donald Trump amenazó con prohibir la aplicación porque su empresa matriz, ByteDance, tiene su sede en China.

Al igual que Clubhouse, ByteDance negó haber compartido información con el gobierno chino, pero algunos expertos cuestionan que se necesite permiso o notificación si los funcionarios del gobierno quisieran datos de las plataformas en función de cómo está configurada Web en China.

«En el caso de TikTok y Clubhouse, todos sabemos que si el gobierno chino realmente quiere algo, lo obtendrán. En este caso, los desarrolladores han deshabilitado App Transportation Safety de forma predeterminada para esta aplicación, lo que significa tráfico no seguro y Se pueden usar estándares de encriptación débiles. El diagrama de pink del análisis de la aplicación muestra claramente la comunicación codificada con los servidores chinos «, dijo Agca.

«Esto está muy lejos de las mejores prácticas de datos cuando los datos de los usuarios se envían a empresas de análisis de datos, voz y biometría con sede en China. Los equipos de TI y seguridad necesitan una forma de comprender las prácticas de transferencia y manejo de datos de cualquier aplicación en el dispositivo de un empleado . Algunos permisos de aplicaciones que parecen inocuos para el usuario ultimate specific pueden ser maliciosos en el sentido corporativo y violar las políticas de cumplimiento «.

Demasiado, demasiado pronto

Los repetidos tropiezos de Clubhouse cuando se trata de proteger la información del usuario son una ocurrencia común entre las aplicaciones que ganan una tracción significativa y grandes bases de usuarios rápidamente.

La aplicación de chat de audio se creó en mayo de 2020 y en enero había alcanzó una valoración de más de mil millones de dólares. Se ha convertido en una de las aplicaciones más descargadas en la Application Retailer de Apple pero ya está dibujando escrutinio de los reguladores en Alemania sobre las prácticas de recopilación de datos y ciertas características, incluidos los requisitos de que los usuarios carguen sus libretas de direcciones.

Jeremy Turner, jefe de inteligencia de amenazas de Coalition, dijo que Clubhouse ganó rápidamente fondos y popularidad en los últimos meses, pero en ese corto tiempo también ha demostrado que carece de seguridad y transparencia de datos con los consumidores. Añadió que los desarrolladores se centran con demasiada frecuencia en los beneficios de la tecnología y no en los posibles agujeros.

«Cuando el valor de una tecnología es tan importante y la adopción tan rápida, los riesgos surgen como una ocurrencia tardía. Las empresas emergentes deben tener cuidado de moverse más rápido de lo que pueden mantenerse al día con las consideraciones de seguridad y privacidad», dijo Turner.

«Cuando los desarrolladores llevan la nueva tecnología a manos de los primeros en adoptar, los riesgos son fáciles de ignorar o pensar en un problema para el mañana, cuando en realidad deberían desarrollar medidas de seguridad de datos tan a fondo como usted desarrolla nuevas experiencias de usuario. los riesgos siempre parecen estar en el horizonte, hasta que no lo están «.

Ver también



Enlace a la noticia unique