Недостаточная защита данных в приложении для общения по аудио Clubhouse может подвести пользователей в КНР «под статью».
Ранее в этом месяце приложение для общения по аудио Clubhouse стремительно набрало популярность среди китайских пользователей. Специалисты Стэнфордского университета решили узнать, как Clubhouse защищает данные своих пользователей и на примере приложения объяснить , почему это важно.
На прошлой неделе китайские власти заблокировали на территории страны разработанное в Кремниевой долине приложение Clubhouse. Причиной блокировки послужил тот факт, что приложение стало площадкой для обсуждения табуированных тем, в частности студенческих протестов в Пекине в 1989 году, также известных как «бойня на площади Таньаньмэнь», и лагерей перевоспитания в Синьцзяне, где без суда и следствия принудительно содержатся граждане, исповедующие ислам. Обсуждение этих тем в Китае запрещено и квалифицируется как уголовное преступление. Поэтому в короткий промежуток времени, пока Clubhouse еще не было заблокировано, китайские пользователи переживали за сохранность своих разговоров. Они опасались возможного перехвата коммуникаций китайскими властями и последующей за этим расправы.
По словам специалистов Стэнфордского университета, опасения пользователей оказались небеспочвенными. Во-первых, бэкенд-инфраструктуру Clubhouse предоставлял шанхайский провайдер ПО для общения в реальном времени Agora. Во-вторых, уникальные идентификаторы пользователей и чатрумов передавались в незашифрованном виде, а у Agora предположительно был доступ к аудио пользователей. А если доступ был у провайдера, то он потенциально был и у китайских властей.
Поскольку компания Agora находится и в США, и Китае, на нее распространяется закон КНР о кибербезопасности. В своем заявлении в Комиссию по ценным бумагам и биржам США компания признала, что от нее потребуется «предоставлять помощь и поддержку в соответствии с законодательством», включая защиту национальной безопасности и уголовные расследования. Если китайское правительство определит, что аудиосообщение угрожает национальной безопасности, Agora по закону обязана помогать правительству в его обнаружении и хранении.
Специалисты Стэнфордского университета обнаружили как минимум один случай передачи метаданных чатрума на серверы в Китае, а также передачи аудио на серверы, управляемые китайскими организациями. Более того, в Clubhouse существует возможность связать идентификатор пользователя с его профилем.
Специалисты решили раскрыть эти проблемы безопасности, потому что их относительно легко обнаружить, и они представляют непосредственную угрозу безопасности миллионов пользователей Clubhouse, особенно в Китае. Исследователи обнаружили и другие уязвимости, о которых в частном порядке сообщили Clubhouse и раскроют публично, когда они будут исправлены или после установленного срока.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках