Clubhouse, è allarme privacy e sicurezza: dalla Cina agli audio rubati all’app

Matteo Novelli

23/02/2021

Si allungano le ombre su Clubhouse: privacy e sicurezza dell’app non sono affidabili. Confermata il furto degli audio registrati dagli utenti, preoccupa la società cinese Agora.

Clubhouse, è allarme privacy e sicurezza: dalla Cina agli audio rubati all’app

Tanto tuonò che piovve: si può parlare di allarme privacy su Clubhouse? Sì: i problemi di sicurezza dell’app erano nell’aria già da tempo e le prime conseguenze stanno lentamente venendo a galla. L’ultima scoperta vede protagonista gli audio delle stante, rubati da un utente prontamente bloccato dall’app. Il social network vocale ha confermato l’accaduto, confermando la falla.

Clubhouse è arrivato in Italia da qualche settimana e nella sua caratteristica principale, il comunicare attraverso la propria voce, ha conquistato gli utenti (Apple, perché su Android non è ancora disponibile). Dopo l’entusiasmo iniziale l’incanto è finito e sono venute a galla le prime stranezze: ad esempio una policy sulla privacy degli utenti un po’ troppo semplicistica, che ha richiesto l’intervento del Garante italiano.

Mentre i dubbi sulla sua effettiva sicurezza, e su una serie di permessi che l’app americana si sarebbe presa con fin troppa leggerezza, aumentano la prima (e confermata) violazione allunga le ombre sull’app.

Allarme privacy su Clubhouse: l’app conferma il furto dei dati audio

Alcuni ricercatori americani della Stanford University avrebbero riportato la violazione informatica attuata da un utente, che aveva sfruttato una falla di sicurezza per trasmettere l’audio delle conversazioni su un altro sito web.

Clubhouse ha poi confermato la violazione a Bloomberg comunicando il ban dell’utente (come previsto dalle regole dell’app). L’app ha poi assicurato l’implementazione di nuove protezioni per impedire lo streaming delle conversazioni al di fuori dell’app (perché prima era possibile?).

Va specificato che si è trattato non di un furto di dati ma di una fuoriuscita di dati personali (in pratica è stato possibile trasmettere le conversazione degli utenti da più stanze su una fonte esterna, cosa tecnicamente non solo vietata ma anche impossibile prima d’ora).

Clubhouse, alla privacy trema la voce: la sicurezza dei dati preoccupa

L’incidente di domenica arriva dopo che Clubhouse aveva assicurato che i dati degli utenti non potevano essere rubati da cybercriminali o hacker, dichiarazione arrivata in risposta a un avvertimento dell’Osservatorio Internet della Stanford University, guidato dall’ex capo della sicurezza di Facebook Alex Stamos.

I ricercatori americani hanno riscontrato infatti diversi difetti di sicurezza, incluso il fatto che i numeri ID univoci degli utenti e i numeri ID delle chat room create su Clubhouse venivano trasmessi in chiaro, senza end-to-end, fattore che permetterebbe di collegare gli ID a specifici profili utente.

I ricercatori hanno puntato la luce anche su possibili violazioni da parte del governo cinese, avanzando l’ipotesi di un accesso non autorizzato ai file audio grezzi presenti sui server di Clubhouse: l’infrastruttura di back-end dell’app è fornita da una società di API chiamata Agora, presente con uffici sia a Shanghai che a San Francisco.

Appoggiare gran parte della propria infrastruttura a un fornitore di servizi cinese implica ad Agora il rispetto delle leggi locali sulla cybersicurezza. Cosa prevede la Cina in questi casi? Agora sarebbe obbligata a fornire al governo cinese l’assistenza e supporto su indagini penali e di sicurezza nazionale nel caso in cui le autorità ritenessero che quanto si dice in una stanza o in una conversazione rischia di compromettere la sicurezza della Cina. Con questo pretesto il gruppo è legittimato, e obbligato, all’individuazione e registrazione delle stanze e delle informazioni degli utenti.

L’esperto di sicurezza informatica Robert Potter, parte del team che ha scovato la falla, ha dichiarato alla BBC:

“Le chat su Clubhouse vanno considerate come semi-pubbliche, dato i problemi con Agora e il fatto che tutti disponiamo e consentiamo l’accesso ai microfoni. Ci sono un sacco di utenti che hanno accolto davvero entusiasti l’app perché è una cosa nuova e poiché hai bisogno di un invito ma le conversazioni devono essere private. È successo anche con Zoom e Tiktok: arriva un’app che ha una crescita davvero elevata, diventa virale e poi si riscontra un problema di privacy o si trovano molti problemi che non erano un grosso problema quando erano app meno popolari, la sicurezza informatica viene sempre dopo in questi casi e non va bene. Penso che le persone debbano solo rendersi conto che la privacy e la sicurezza informatica delle nuove piattaforme di social media non saranno mai buone come quelle mature e presenti da più tempo online. Se sarai uno dei primi ad adottare e provare nuove app o nuovi smartphone, troverai sempre dei bug”.

L’onda dell’entusiasmo per Clubhouse sembra però inarrestabile: forse sarebbe meglio aspettare e non scalpitare per un invito che ci espone a un applicativo non ancora maturo.

Argomenti

# App

Iscriviti a Money.it