Clubhouse je hitem, ale zabezpečení aplikace pokulhává
Zpět na blogAplikace Clubhouse je fenoménem poslední doby. Láká známé osobnosti, influencery i běžné uživatele, kteří chtějí diskutovat o nejrůznějších tématech. Aplikace Clubhouse je sice stále ještě v betaverzi, přesto se jí podařilo vytvořit celosvětový hype a překonat hranici 10 milionů aktivních uživatelů a hodnotu 1 miliardy dolarů, což ji řadí po bok známých aplikací, jako jsou Uber nebo AirBnb. Stejně jako u každé nové populární aplikace i u Clubhouse existuje řada důležitých otázek ohledně bezpečnosti a soukromí.
Clubhouse je audio sociální síť, ve které může konverzace poslouchat virtuální publikum. Zjednodušeně jde o sbírku exkluzivních živých podcastů nebo rozhlasových pořadů s různými tématy, jako je obchod, kultura, politika atd. Clubhouse uvádí, že konverzace po ukončení zmizí a nelze je nahrávat. V současné době je aplikace pouze pro iOS a lidé se mohou připojit, pouze když obdrží pozvánku od stávajícího člena.
Aplikace ovšem vyvolává znepokojení v souvislosti s ochranou soukromí. Po obdržení pozvánky aplikace získá přístup ke všem kontaktům v zařízení a nabízí pomoc s vyhledáním dalších uživatelů Clubhouse. Snaží se také uživatele přimět k propojení aplikace s twitterovými a instagramovými účty pro lepší vyhledávání kontaktů.
„Na tom by nebylo nic úplně překvapivého, protože podobný postup volí běžné i další populární aplikace. Není ale zřejmé, jaká data aplikace Clubhouse přesně extrahuje nebo sdílí s jinými sociálními sítěmi. Řada uživatelů dokonce uvedla, že jejich kontaktní údaje byly sdíleny s ostatními uživateli Clubhouse bez jejich svolení. V této souvislosti je tedy dobré si připomenout známý výrok: Pokud za produkt neplatíte, pak jste sami produktem,“ uvedl Petr Kadrmas, Security Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point.
Kdopak to poslouchá?
Nejasná je nejen práce s kontakty uživatelů, ale také další aspekty bezpečnosti a soukromí. Stanford Internet Observatory (SIO) upozorňuje, že dodavatelem back-end infrastruktury pro aplikaci Clubhouse je šanghajská společnost Agora a unikátní uživatelská ID a ID chatovacích místností jsou překvapivě posílány z aplikace do infrastruktury v prostém textu, takže k informacím může mít potenciálně přístup čínská vláda. Zároveň není vyloučeno, že má čínská vláda přístup k veškerému audio obsahu. SIO dodává, že metadata z Clubhouse diskusí jsou přenášena na servery pravděpodobně hostované v Číně. Clubhouse uvádí, že byly podniknuty takové kroky, aby ke zneužití nemohlo dojít.
V únoru 2021 navíc Bloomberg uvedl, že neidentifikovaný uživatel streamoval zvuk z několika chatovacích místností Clubhouse na vlastních webových stránkách. Clubhouse sice tvrdí, že obsah diskusí zmizí po jejich ukončení, ale to samozřejmě neplatí pro zvuk extrahovaný z aplikace a hostovaný jinde. Uživatel streamující diskuse byl aplikací zablokován a Clubhouse nainstaloval nová bezpečnostní opatření, aby se situace neopakovala.
Podvodné aplikace a další hrozby
Vzhledem k jisté exkluzivitě Clubhouse aplikace hledá řada uživatelů jiné cesty, jak se do klubu dostat, což otevírá příležitosti pro podvodníky. Objevily se například zprávy, že lidé prodávají pozvánky do Clubhouse. Někteří prodejci mohou být legitimní, ale kupující pozná, zda je pozvánka pravá, až když zaplatí. Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje také na nejrůznější falešné verze aplikace Clubhouse, jejichž cílem je získávat osobní data a přihlašovací údaje obětí. Jedna taková podvodná aplikace byla nalezena dokonce v oficiálním obchodu Google Play, což ukazuje, že podvodníci dokázali obelstít i bezpečnostní mechanismy společnosti Google.
Clubhouse vzbudil zájem uživatelů po celém světě, prudký nárůst předčil i očekávání autorů. Aplikace je ještě v betaverzi, což zvětšilo problémy s ochranou soukromí a zabezpečením, protože podobné věci by pravděpodobně byly vyřešeny ještě před spuštěním plné verze, aniž by se o nich veřejnost dozvěděla. Přesto uživatelé musí tyto potenciální bezpečnostní slabiny zvážit.
Zdroj: Check Point
24. 3. 2021