Група дослідників зі Стенфордської інтернет-обсерваторії (SIO) визначила, що практика захисту даних Clubhouse дозволила китайському уряду отримати доступ до даних його користувачів, можливо, включаючи їх необроблений звук.
У новому звіті дослідники SIO показують, що Clubhouse використовує китайську компанію Agora, яка надає платформу для взаємодії з голосом і відео в реальному часі, для забезпечення своєї внутрішньої інфраструктури. Це означає, що Clubhouse використовує платформу Agora для створення «простої інфраструктури» свого застосування.
Тут починається тривога: дослідники SIO виявили, що коли користувачі приєднуються до каналу в Clubhouse, пакет, що містить метадані про кожного користувача, відправляється у внутрішню інфраструктуру Agora. Метадані включають унікальний ідентифікатор клубу користувача і ідентифікатор кімнати, в яку вони входять. Він не зашифрований, «це означає, що будь-яка третя особа, яка має доступ до мережевого трафіку користувача, може отримати до нього доступ».
«Таким чином, перехоплювач може дізнатися, чи розмовляють два користувача один з одним, наприклад, виявивши, приєднуються ці користувачі до одного каналу», – пишуть дослідники.
Крім того, дослідники виявили, що Agora, ймовірно, буде мати доступ до необробленого аудіотрафіку Clubhouse. Це означає, що якщо звук не зашифрований наскрізним шифруванням – що, за словами SIO, «вкрай малоймовірно», – Agora може перехопити, розшифрувати і зберегти звук.
Agora повинна дотримуватися закону Китаю про кібербезпеку. Дослідники відзначають, що сама Agora визнала, що буде зобов’язана надати Китаю допомогу і підтримку в питаннях, пов’язаних з національною безпекою і кримінальними розслідуваннями.
Іншими словами:«Якщо китайський уряд визначить, що звукове повідомлення загрожує національній безпеці, Agora буде за законом зобов’язана допомагати уряду в його виявленні і зберіганні», – писали вони.
Згідно зі звітом, Agora стверджує, що не зберігає для користувача аудіо або метадані, окрім як для моніторингу якості мережі та виставлення рахунків своїм клієнтам. Проте, дослідники відзначають, що китайський уряд все ще теоретично може підключатися до мереж Agora і записувати дані користувача.
Агора не коментує будь-які відносини з Clubhouse. Представник компанії сказав, що у неї немає доступу і зберігання особистих даних, і що вона не маршрутизує голосовий і відеотрафік, що генерується за межами Китаю.
Чекаємо на оновлення інформації.
Читайте також: