Необработанное аудио Clubhouse может быть замечено коммунистическим китайским партнером

Himalaya Moscow Katyusha (RU) XingHe

yandex

Clubhouse, популярное приложение, которое позволяет людям создавать цифровые дискуссионные группы, заявило, что оно пересматривает свои методы защиты данных после того, как Стэнфордская интернет-обсерватория (SIO) обнаружила потенциальные уязвимости в своей инфраструктуре, которые могут позволить внешний доступ к необработанным аудиоданным пользователей.

SIO подтвердил, что Agora Inc, шанхайский стартап с офисами в Кремниевой долине, предоставляет бэкенд инфраструктуру Clubhouse и продает “платформу голосового и видео взаимодействия в реальном времени”.”

Идентификаторы пользователей передаются в открытом виде через Интернет, что делает их “тривиальными для перехвата”, говорится в нем.

Идентификаторы пользователей – это как серийный номер, а не имя пользователя. Agora, скорее всего, будет иметь доступ к необработанному аудио пользователей, что потенциально обеспечит доступ к коммунистическому китайскому правительству, говорится в нем.

“Любой наблюдатель интернет-трафика может легко сопоставить идентификаторы в общих чатах, чтобы увидеть, кто с кем разговаривает”, – сказал SIO в своем Твиттере о своих выводах. “Для пользователей материкового Китая это вызывает беспокойство.”

SIO, программа Стэнфордского университета, изучающая дезинформацию в Интернете и социальных сетях, заявила, что наблюдала, как метаданные из Клубного чата “передаются на серверы, которые, как мы полагаем, размещены в Китае”.

Аналитики также видели, как аудио передавалось “на серверы, управляемые китайскими организациями и распространяемые по всему миру”, говорится в отчете.

Как китайская фирма, Agora подчиняется китайским законам о кибербезопасности и будет “юридически обязана помогать правительству в обнаружении и хранении” аудиосообщений, которые, по словам властей, ставят под угрозу национальную безопасность.

Agora не сразу отвечала на электронные письма в нерабочее время, требуя комментариев.

“Любые незашифрованные данные, которые передаются через серверы в Китай, скорее всего, будут доступны коммунистичечкому китайскому правительству”, – говорится в нем.

Поскольку SIO могла наблюдать за передачей метаданных между серверами, она считает, что коммунистическое китайское правительство сможет собирать метаданные без необходимости доступа к сетям Agora.

Однако SIO заявила, что Agora утверждает, что не хранит аудио пользователей или метаданные “за исключением мониторинга качества сети и выставления счетов своим клиентам”, а это означает, что у нее не будет никаких записей пользовательских данных, если Пекин запросит их.

В нем также говорилось, что до тех пор, пока аудио хранится в США, маловероятно, что коммунистичесое китайское правительство сможет получить к нему доступ.

SIO заявила, что решила раскрыть проблемы безопасности, потому что их было легко раскрыть, и из-за риска, который они представляют для миллионов пользователей Clubhouse.

“SIO обнаружил другие недостатки безопасности, которые мы конфиденциально раскрыли Clubhouse и публично раскроем, когда они будут исправлены или после установленного срока”, – говорится в сообщении.

В заявлении, включенном в отчет, Clubhouse заявила, что в течение 72 часов она внесет изменения, чтобы добавить “дополнительное шифрование и блоки, чтобы клиенты Clubhouse никогда не передавали пинги на китайские серверы. Мы также планируем привлечь внешнюю фирму по защите данных для проверки и подтверждения этих изменений.

0
0 Comments
Inline Feedbacks
View all comments