Clubhouse - niebezpieczna strona nowego serwisu
Clubhouse to platforma społecznościowa, która zdobywa coraz większą popularność. Na razie jest ona wyłącznie dostępna dla użytkowników systemu iOS, ale to właśnie jej elitarność sprawia, że tak wiele osób chce z niej skorzystać. Eksperci do spraw bezpieczeństwa jednak ostrzegają- członkowie społeczności godzą się na uczestnictwo w wielkim teście, w którym sprawdzane są również zabezpieczenia usługi.
Dzięki obecności celebrytów pokroju Oprahy Winfrey, Kanye West, Drake’a i Elona Muska, jak również funkcji dostępnych tylko dla zaproszonych użytkowników, Clubhouse wzbudził ogromne zainteresowanie wśród internautów na całym świecie, mimo że platforma nadal funkcjonuje w trybie beta. Nowy portal społecznościowy posiada obecnie 10 milionów użytkowników, czyli aż 5-krotnie więcej niż w styczniu 2021 roku. Wycena sięgająca 1 miliarda dolarów sprawia, że Clubhouse stał się technologicznym jednorożcem, dołączając do gigantów pokroju Ubera czy AirBnb.
Jednak, podobnie jak w przypadku każdej nowej i szybko rozwijającej się aplikacji społecznościowej, pojawiają się pytania o jej bezpieczeństwo oraz prywatność danych. Taki problem dotyczył np. polskiej alternatywy Facebooka, czyli serwisu Albicla, z której - jak donosi Zaufana Trzecia Strona - od czasu otwarcia pod koniec stycznia br. co najmniej czterokrotnie wyciekały dane użytkowników.
Za Clubhouse stoi jednak zupełnie inny model, jak i budżet na rozwój platformy. Nowa aplikacja to oparta na komunikacji głosowej sieć społecznościowa, w której ludzie prowadzą rozmowy, których może słuchać wirtualna publiczność. W rzeczywistości jest to zbiór ekskluzywnych podcastów lub audycji radiowych, z tematami pogrupowanymi w szereg kategorii, takich jak biznes, kultura czy polityka. Clubhouse zakłada, że prowadzone rozmowy znikają po ich zakończeniu i nie można ich nagrać lub odsłuchać. Obecnie aplikacja jest dostępna tylko na iOS, choć zapowiadana jest również wersja na Androida. Co ciekawe kolejni użytkownicy mogą dołączać tylko dzięki zaproszeniu od dotychczasowego członka społeczności.
Zdaniem ekspertów bezpieczeństwa pytania dotyczące naszej prywatności pojawiają się już od momentu rejestracji. Gdy ktoś zostanie zaproszony przez istniejącego członka, aplikacja uzyskuje dostęp do wszystkich kontaktów tej osoby na jej urządzeniu, aby pomóc jej znaleźć innych użytkowników Clubhouse. Aplikacja zachęca również użytkowników do łączenia kont na Twitterze i Instagramie jako innego sposobu wyszukiwania użytkowników (lub bycia odnalezionym).
- To standardowa praktyka w przypadku nowej aplikacji i dość powszechna w przypadku popularnych aplikacji, takich jak TikTok, jednak nie jest jasne, jakie dane aplikacja Clubhouse wyodrębnia lub udostępnia innym aplikacjom społecznościowym. Jednak wielu użytkowników zgłosiło, że ich dane kontaktowe zostały udostępnione innym użytkownikom Clubhouse bez ich zgody. - zwraca uwagę Wojciech Głażewski, dyrektor polskiego oddziału Check Point. Ten brak przejrzystości może po raz kolejny ukazywać sens słów "jeśli nie płacisz za produkt, to oznacza, że jesteś produktem".
W związku z takimi wątpliwościami pojawiają się pytania dotyczące sposobu, w jaki Clubhouse zarządza kontaktami użytkowników. Pod znakiem zapytania stoi również to w jaki sposób wszelkie działania użytkowników czy zawartości audio są przetwarzane w aplikacji. Dochodzenia przeprowadzone przez Stanford Internet Observatory (SIO) potwierdziły, że infrastrukturę zaplecza do aplikacji Clubhouse dostarcza Agora, szanghajski dostawca oprogramowania. Badanie wykazało również, że unikalne numery identyfikacyjne użytkowników Clubhouse oraz ID czatroomów przesyłane są z aplikacji do jej infrastruktury w postaci zwykłego tekstu, pozostawiając je narażone na potencjalny dostęp dla chińskiego rządu. Niepokojący jest fakt, że takie rozwiązanie może zapewnić chińskiemu rządowi dostęp do treści audio użytkowników platformy: SIO zaobserwował, że metadane z czatów klubu są przekazywane na serwery, które uważa się za hostowane w Chinach. Clubhouse twierdzi, że podjął kroki, aby temu zapobiec.
Co więcej, w lutym 2021 r. Bloomberg poinformował, że jeden z użytkowników był w stanie przesyłać strumieniowo kanały audio Clubhouse z kilku różnych czatów na własną stronę internetową. Chociaż Clubhouse utrzymuje, że rozmowy znikają z aplikacji, gdy tylko zostaną zakończone, nie można tego samego powiedzieć o dźwięku, który został wyodrębniony z aplikacji i umieszczony w innym miejscu. Clubhouse poinformował, że zbanował użytkownika, który przesyłał strumieniowo kanały audio i zainstalował nowe zabezpieczenia, aby zapobiec powtórzeniu się takim sytuacjom. Istotną jest jednak sama możliwość wyodrębnienia dźwięku bez udziału Clubhouse - nie ma bowiem gwarancji, że podobna sytuacja nie powtórzy się w przyszłości.
Model Clubhouse opiera się m.in. na poczuciu ekskluzywności zrzeszonej społeczności. Eksperci Check Pointa zwracają uwagę, że jak w przypadku każdego ekskluzywnego towaru, popyt przewyższa podaż, co otwiera możliwości dla oszustów. Potwierdzają to doniesienia o osobach sprzedających swoje zaproszenia do członkostwa w Clubhouse. Choć niektórzy sprzedawcy mogą udostępniać prawdziwe "wejściówki", to ostatecznie o ich wartości i przydatności można się przekonać dopiero po zrealizowaniu transakcji.
Wysoki popyt wpływa również na tworzenie fałszywych aplikacji. Firma Check Point Research zidentyfikowała fałszywe aplikacje Clubhouse zarówno na urządzenia z systemem iOS, jak i Android, które mają na celu gromadzenie danych osobowych i poświadczeń użytkowników. Jedna z nich została odnaleziona w oficjalnej historii Google Play (została usunięta przez sklep Google), co pokazuje, że oszuści byli w stanie ominąć część procedur bezpieczeństwa i weryfikacji sklepu.