Un utente malintenzionato non identificato è stato in grado di trasmettere in streaming i feed audio della popolare app per chat room audio Clubhouse da più stanze al proprio sito Web di terze parti.
Gli esperti di sicurezza informatica, durante il fine settimana, hanno notato che audio e metadati venivano trasferiti da Clubhouse a un altro sito.
“Un utente ha impostato un modo per condividere in remoto i propri dati di accesso con il resto del mondo”, ha dichiarato Robert Potter, amministratore delegato di Internet 2.0 con sede a Canberra, in Australia. “Il vero problema era che la gente pensava che queste conversazioni fossero mai private.”
L’attore dietro il furto audio ha costruito il proprio sistema attorno al toolkit JavaScript utilizzato per compilare l’applicazione Clubhouse.
In seguito all’attività dannosa, la società ha bandito in modo permanente l’account utilizzato dall’aggressore e ha implementato nuove misure di sicurezza che però non sono state rese pubbliche. Potrebbero aver introdotto alcune limitazioni nell’uso di applicazioni di terze parti per accedere all’audio della chat room senza entrare effettivamente in una stanza. Un’altra mitigazione potrebbe essere il limite di numero di stanze in cui un utente può entrare contemporaneamente.
L’Osservatorio Internet di Stanford ha dichiarato che gli utenti dovrebbero presumere che tutte le conversazioni vengano registrate dall’azienda, una circostanza che solleva preoccupazioni perché gli utenti non hanno informazioni su come vengono memorizzate le conversazioni.
“Clubhouse non può fornire alcuna promessa di privacy per le conversazioni tenute in qualsiasi parte del mondo”, ha affermato Alex Stamos, direttore dello Stanford Internet Observatory ed ex CSO di Facebook.
Stamos e il suo team hanno confermato che Clubhouse si affida a una startup con sede a Shanghai chiamata Agora Inc. per gestire gran parte delle sue operazioni di back-end. La piattaforma si affida all’azienda cinese per elaborare il traffico dati e la produzione audio, ha affermato.
Agora ha affermato di non poter commentare i protocolli di sicurezza o privacy di Clubhouse e ha insistito sul fatto che non “archivia o condivide informazioni di identificazione personale” per nessun cliente. “Ci impegniamo a rendere i nostri prodotti il più sicuri possibile”, ha affermato la società.
https://securityaffairs.co/wordpress/114891/digital-id/clubhouse-privacy-issues.html
