Clubhouse, la sicurezza, il rapporto con la Cina e la violazione che ha fatto trapelare file audio.

In questo periodo è letteralmente sulla bocca di tutti, Clubhouse il social “elitario” nato pochi mesi fa che fa già discutere per le possibili falle relative alla sicurezza dei dati degli utenti.

Sicurezza Informatica

23 Febbraio 2021


Condividi :

| |


Per chi non lo conoscesse ancora, Clubhouse è un social network a cui si può accedere solo tramite invito di un membro che ne faccia già parte ed esclusivamente da Iphone.

Come funziona Clubhouse?

Nella piattaforma gli utenti possono aprire dei gruppi di discussione digitale, delle room all’interno delle quali sarà possibile discutere di specifiche tematiche. Non è possibile inviare messaggi, foto, documenti o audio, è possibile solo comunicare parlando. 


Per fare un esempio, potremmo in questo momento decidere di aprire una Room sulla tematica “Cybersecurity su Clubhouse” e darvi appuntamento ad un determinato orario, chi ci segue o chi ha dimostrato interesse per tali tematiche potrebbe visualizzare la room, accedervi ed intervenire sull’argomento, previa autorizzazione a parlare concessa dagli speaker della room. 

Clubhouse e la sicurezza.

ClubHouse è quindi diventata molto popolare, e in molti hanno iniziato a domandarsi quali pratiche di sicurezza venissero messe in atto per proteggere i dati audio degli utenti. 


A quanto pare Clubhouse sta rivedendo le sue pratiche di sicurezza dopo che lo Stanford Internet Observatory, un programma dell’Università di Stanford che studia la disinformazione su internet e le piattaforme di social media, ha rilevato potenziali vulnerabilità nella sua infrastruttura che potrebbero consentire l’accesso esterno ai dati audio grezzi degli utenti.


Lo SIO ha rilevato che a fornire l’infrastruttura back-end a Clubhouse è Agora Inc, una start-up con sede a Shanghai e uffici nella Silicon Valley.


Gli ID utente sono trasmessi in chiaro su Internet, rendendoli “banali da intercettare”. “Qualsiasi osservatore del traffico internet potrebbe quindi facilmente abbinare gli ID sulle chatroom condivise per vedere chi sta
parlando con chi”, ha comunicato l’osservatorio nel suo feed di Twitter.


Agora inoltre avrebbe probabilmente accesso all’audio grezzo degli utenti e potrebbe potenzialmente fornire l’accesso al governo cinese, in quanto società soggetta alle leggi cinesi sulla sicurezza informatica, che possono
richiedere l’accesso ai dati in caso di pericolo per la sicurezza nazionale. 


Mentre Agora ha rifiutato di commentare il rapporto della società con Clubhouse, l’azienda ha affermato in una dichiarazione che “non ha l’autorizzazione a condividere o memorizzare dati personali identificabili degli utenti finali. Il traffico voce o video da utenti non basati in Cina – compresi gli utenti statunitensi – non viene mai instradato attraverso la Cina”.

Trasmissione di metadati e crittografia obsoleta

“Qualsiasi dato non crittografato che viene trasmesso tramite server nella RPC (Repubblica Popolare Cinese) sarebbe probabilmente accessibile al governo cinese”, afferma lo Stanford Internet Observatory nel suo rapporto. Lo SIO è stato in grado di osservare la trasmissione di metadati tra i server, e ritiene che il governo cinese sarebbe in grado di raccogliere dati senza dover accedere alle reti di Agora.


Tuttavia, l’Osservatorio ha anche comunicato che Agora sostiene di non memorizzare l’audio o i metadati degli utenti, se non per attività di monitoraggio e funzionalità di base. Questo significa che, anche se Pechino dovesse richiedere l’accesso ai dati, Agora non sarebbe in grado di fornirli. Inoltre, essendo l’audio memorizzato negli Stati Uniti, è improbabile che il governo cinese sarebbe in grado di accedervi.


Lo Stanford Internet Observatory ha scelto di rivelare pubblicamente i problemi di sicurezza in quanto facili da scoprire, ma al contempo pericolosi, considerati i milioni di utenti già iscritti e attivi in Clubhouse.
Lo SIO ha inoltre rilevato altre falle di sicurezza non ancora rese pubbliche, ma trasmesse in via confidenziale a Clubhouse che verranno divulgate quando risolte, o dopo una scadenza stabilita.

Il software e le librerie dietro Clubhouse

Il software alla base di Clubhouse si basa su una vecchia versione della libreria vocale di Agora, ha detto Federico Maggi, ricercatore senior di Trend Micro.


“Analizzando l’app Clubhouse abbiamo scoperto che include una versione obsoleta della libreria software Agora, che utilizza funzioni di crittografia obsolete, secondo la loro documentazione tecnica, mentre la miglior pratica di sicurezza è quella di utilizzare sempre l’ultimo supporto crittografico”, ha detto Federico Maggi in un’intervista telefonica.


Inoltre, la versione della libreria Agora in causa costringe i dati ad essere inviati in Cina attraverso tre specifici indirizzi IP hardcoded, anche se gli utenti si trovano in Europa o negli Stati Uniti, come mostra il rapporto Stanford, Maggi ha aggiunto.

La risposta di Clubhouse 

In una dichiarazione inclusa nel rapporto SIO, Clubhouse ha detto che avrebbe effettuato i cambiamenti nel corso di 72 ore per aggiungere “crittografia aggiuntiva e blocchi, per far si che i clienti non trasmettano nemmeno ping ai server cinesi. Abbiamo anche intenzione di coinvolgere una società esterna di sicurezza dei dati per rivedere e convalidare questi cambiamenti”.


Clubhouse ha recentemente raccolto 100 milioni di dollari e ha una valutazione di mercato di 1 miliardo di dollari, e alcuni dei più importanti dirigenti tecnologici, tra cui Elon Musk di Tesla Inc. si sono uniti al servizio.


Le azioni di Agora, conosciuta nel settore come un fornitore efficiente ma con software non eccellenti, sono salite più del 150% da metà gennaio portando il valore della società a quasi 11 miliardi di dollari.


Nel frattempo Clubhouse è stato bannato in Cina a seguito di un’esplosione di discussioni all’interno della piattaforma su argomenti ritenuti tabù dal governo Cinese come: Taiwan, lo Xinjiang e le proteste di Tienanmen del 1989. Adesso dalla Cina si può accedere all’app solo utilizzando una vpn, uno dei pochi modi in cui le persone nella Cina continentale possono accedere a internet superando il Grande Firewall.

Un’altra falla. 

Un altro report, questa volta di Bloomberg, ha portato alla luce un’altra falla nella sicurezza di Clubhouse. Un utente non identificato ha riferito di aver trasmesso audio in live-streaming sul loro sito web, e successivamente è stato bandito dall’app. Secondo il rapporto di Bloomberg, l’utente è stato in
grado di entrare in più di una room.

Anche in questo caso Clubhouse ha dichiarato a Bloomberg che aumenterà la sicurezza, anche se non è ancora entrata nel dettaglio delle misure specifiche che utilizzerà. 


Clubhouse, per preservare la sua immagine ed evitare di diventare un’altra delle tante meteore social che hanno attraversato i nostri telefoni per poi finire nel dimenticatoio deve correggere le sue falle di sicurezza e essere in grado di comunicarlo nel migliore dei modi, per rimanere a galla prima e crescere poi, in un momento storico nel quale le parole privacy e sicurezza sono nella bocca di tutti. 

Fonti:

https://www.bloomberg.com/news/articles/2021-02-13/clubhouse-users-raw-audio-may-be-exposed-to-chinese-partner

https://www.bloomberg.com/news/articles/2021-02-22/clubhouse-chats-are-breached-raising-concerns-over-security