Conforme o aplicativo de bate-papo com áudio ao vivo Clubhouse cresce em popularidade em todo o mundo, as preocupações com suas práticas de dados também aumentam.

Atualmente, o aplicativo está disponível apenas para iOS, então alguns desenvolvedores partiram em uma corrida para criar versões Android, Windows e Mac do serviço. Embora esses esforços possam não ser mal intencionados, o fato de que os programadores precisam de pouco esforço para fazer engenharia reversa e bifurcar o Clubhouse ou seja, quando os desenvolvedores criam um novo software com base em seu código original – está soando um alarme sobre a segurança do aplicativo.

O objetivo comum desses aplicativos não oficiais, a partir de agora, é transmitir feeds de áudio do Clubhouse em tempo real para usuários que não podem acessar o aplicativo de outra forma porque não têm um iPhone. Um desses esforços é chamado de Open Clubhouse , que se descreve como um “aplicativo da web de terceiros baseado no objetivo de reproduzir o áudio do Clubhouse”. O desenvolvedor do Open Clubhouse confirmou que o Clubhouse bloqueou seu serviço cinco dias após seu lançamento sem fornecer uma explicação.

“Algumas empresas coletam muitas informações de seus usuários, analisam esses dados e até fazem uso abusivo deles. Enquanto isso, eles restringem a forma como as pessoas usam os aplicativos e não dão aos usuários os direitos que eles merecem. Para mim, isso constitui monopólio ou exploração”, disse o desenvolvedor do Open Clubhouse, apelidado de AiX.

O Clubhouse disse que “gravar ou transmitir sem a permissão explícita dos palestrantes é contra os termos de serviço do Clubhouse”.

No fim de semana, um indivíduo transmitiu temporariamente várias salas de seu próprio feed para um site”, disse um porta-voz do Clubhouse. “A conta desse indivíduo foi permanentemente banida do serviço e adicionamos salvaguardas adicionais para evitar que outras pessoas façam isso no futuro.”

AiX escreveu o programa “por diversão” e queria que ele ampliasse o acesso do Clubhouse a mais pessoas. Outro esforço semelhante veio de um desenvolvedor chamado Zhuowei Zhang, que criou a Hipster House para permitir que aqueles sem um convite navegassem nas salas e usuários, e aqueles com um convite para ingressar nas salas como ouvintes, embora não possam falar – o Clubhouse é apenas para convidados até o momento. Zhang parou de desenvolver o projeto, entretanto, após perceber uma alternativa melhor.

Esses serviços de terceiros, apesar de suas intenções inócuas, podem ser explorados para fins de vigilância, como Jane Manchun Wong, uma pesquisadora conhecida por descobrir recursos futuros em aplicativos populares, observou em um tweet.

Acho que as abordagens da engenharia reversa são neutras”, disse Wong. “O aspecto ético depende da intenção. Mas qualquer um pode pegar o código-fonte, reaproveitá-lo e usá-lo de maneiras que deixam certos grupos de pessoas vulneráveis. ”

Crise de identidade

O Clubhouse permite que as pessoas criem salas de chat públicas, que estão disponíveis para qualquer usuário que entrar até que uma sala atinja sua capacidade máxima, e salas privadas, que são acessíveis apenas para criadores da sala e usuários autorizados pelos criadores.

Mas nem todos os usuários estão cientes da natureza aberta das salas públicas do Clubhouse. Durante sua breve janela de disponibilidade na China, o aplicativo foi inundado por chineses do continente debatendo questões politicamente sensíveis de Taiwan a Xinjiang, que são fortemente censuradas no ciberespaço chinês. Alguns usuários chineses mais atentos especularam a possibilidade de serem interrogados pela polícia por fazer comentários delicados. Embora nenhum evento desse tipo tenha sido relatado publicamente, as autoridades chinesas baniram o aplicativo desde 8 de fevereiro.

O design do Clubhouse está, por natureza, em conflito com o estado de comunicação que pretende alcançar. O aplicativo incentiva as pessoas a usarem sua identidade real – o registro requer um número de telefone e um convite de usuário existente. Dentro de uma sala, todos podem ver quem mais está lá. Essa configuração inspira confiança e conforto nos usuários quando eles falam como se estivessem falando em um evento de networking.

Mas os aplicativos de terceiros que são capazes de extrair os feeds de áudio do Clubhouse mostram que o aplicativo não é nem semi-público: é público.

Esses clientes terceirizados destacam as salas de melhorias de segurança e privacidade nas quais o Clubhouse pode trabalhar. Se for programaticamente possível transmitir áudio fora do aplicativo Clubhouse, isso significa que também pode ser possível coletar automaticamente dados de áudio das salas Clubhouse ”, observou Wong.

O Clubhouse pode atenuar isso garantindo que os usuários só possam ouvir uma sala de cada vez”, acrescentou ela.

Confusão no back-end

Mais crítico é que os usuários podem “ouvir fantasmas”, como descobriu o desenvolvedor Zerforschung . Ou seja, os usuários podem ouvir a conversa de uma sala sem que seu perfil seja exibido para os participantes da sala. A escuta secreta é possível estabelecendo comunicação diretamente com o NOW, um provedor de serviços contratado pelo Clubhouse. Como vários pesquisadores de segurança descobriram, o Clubhouse depende da tecnologia de comunicação de áudio em tempo real da NOW. 

Alguma explicação técnica é necessária aqui. Quando um usuário entra em uma sala de chat no Clubhouse, ele faz uma solicitação à infraestrutura do Agora, como descobriu o Stanford Internet Observatory . Para fazer a solicitação, o telefone do usuário entra em contato com a interface de programação de aplicativo (API) do Clubhouse, que então cria “tokens”, o bloco de construção básico na programação que autentica uma ação, para estabelecer um caminho de comunicação para o tráfego de áudio do aplicativo.

Agora, o problema é que pode haver uma desconexão entre o Clubhouse e o NOW, permitindo que o fim do Clubhouse, que gerencia os perfis dos usuários, fique inativo enquanto o fim do NOW, que transmite dados de áudio, permanece ativo, como observou o analista de tecnologia Daniel Sinclair . É por isso que os usuários podem continuar a espionar uma sala sem que seu perfil seja exibido para os participantes da sala.

A parceria NOW apresenta outras formas de vulnerabilidade. A empresa, que opera principalmente nos Estados Unidos e na China, divulgou em seu prospecto de IPO que seus dados podem estar sujeitos à lei de segurança cibernética da China, que exige que as operadoras de rede na China auxiliem nas investigações policiais. Essa possibilidade, como aponta o Stanford Internet Observatory, depende do fato de o Clubhouse armazenar seus dados na China.

Embora a API Clubhouse esteja proibida na China, a API NOW parece desbloqueada. Testes descobriram que os usuários atualmente precisam de uma VPN para entrar em uma sala, uma ação gerenciada pelo Clubhouse, mas podem ouvir a conversa da sala, que é facilitada pelo NOW. Qual é a maneira mais segura de usuários baseados na China acessarem o aplicativo, dada a restrição oficial de que ele não deveria acessar? É importante notar que o aplicativo não estava disponível na App Store chinesa antes mesmo de sua proibição, e os usuários chineses precisavam baixá-lo por meio de soluções alternativas.

A equipe do Clubhouse pode estar sobrecarregada por questões de expansão nos últimos dias, mas essas observações iniciais de pesquisadores e hackers podem reorganizar as ações prioritárias afim de corrigir suas vulnerabilidades o quanto antes, abrindo caminho para crescer além de seus vários milhões de usuários e marca de avaliação de US $ 1 bilhão .

Última atualização em 23 de fevereiro de 2020, com comentários do Clubhouse e de especialistas.

Fonte TechCrunch

CONTATO

Envie uma mensagem e responderemos o mais breve possível.

Enviando

©2024 i9Startups - Plataforma de ignição da sua idéia.

ou

Fazer login com suas credenciais

ou    

Esqueceu sua senha?

ou

Create Account