Una carrera para realizar ingeniería inversa en el Clubhouse genera preocupaciones de seguridad
pkadmin
febrero 23, 2021
A medida que la aplicación de chat de audio en vivo Clubhouse gana popularidad en todo el mundo, también aumentan las preocupaciones sobre sus prácticas de datos.
Actualmente, la aplicación solo está disponible en iOS, por lo que algunos desarrolladores se embarcan en una carrera para crear versiones del servicio para Android, Windows y Mac. Si bien estos esfuerzos pueden no ser mal intencionados, el hecho de que los programadores requieran poco esfuerzo para realizar ingeniería inversa y bifurcar Clubhouse, es decir, cuando los desarrolladores crean un nuevo software basado en su código original, hace sonar una alarma sobre la seguridad de la aplicación.
El objetivo común de estas aplicaciones no oficiales, a partir de ahora, es transmitir transmisiones de audio de Clubhouse en tiempo real a los usuarios que no pueden acceder a la aplicación de otra manera porque no tienen un iPhone. Uno de esos esfuerzos se llama Open Clubhouse , que se describe a sí mismo como una “aplicación web de terceros basada en un matraz para reproducir audio de Clubhouse”. El desarrollador de Open Clubhouse confirmó a TechCrunch que Clubhouse bloqueó su servicio cinco días después de su lanzamiento sin dar una explicación.
“[Algunas empresas] piden mucha información a los usuarios, analizan esos datos e incluso abusan de ellos. Mientras tanto, restringen la forma en que las personas usan las aplicaciones y no otorgan a los usuarios los derechos que merecen. Para mí, esto constituye un monopolio o explotación ”, dijo el desarrollador de Open Clubhouse apodado AiX.
Clubhouse dijo que “grabar o transmitir sin el permiso explícito de los oradores va en contra de los términos de servicio de Clubhouse”.
“Durante el fin de semana, una persona transmitió temporalmente varias salas desde su propio feed a un sitio web”, dijo un portavoz de Clubhouse a TechCrunch. “La cuenta de esta persona ha sido prohibida permanentemente en el servicio y hemos agregado salvaguardas adicionales para evitar que las personas hagan esto en el futuro”.
AiX escribió el programa “por diversión” y quería que ampliara el acceso de Clubhouse a más personas. Otro esfuerzo similar provino de un desarrollador llamado Zhuowei Zhang, quien creó Hipster House para permitir que quienes no tienen una invitación naveguen por las salas y los usuarios, y aquellos con una invitación para unirse a las salas como oyentes aunque no pueden hablar: Clubhouse es solo por invitación en el momento. Sin embargo, Zhang dejó de desarrollar el proyecto después de notar una alternativa mejor.
Estos servicios de terceros, a pesar de sus intenciones inocuas, pueden ser explotados con fines de vigilancia, como señaló en un tweet Jane Manchun Wong, investigadora conocida por descubrir las próximas funciones en aplicaciones populares .
“Creo que los enfoques de la ingeniería inversa son neutrales”, dijo Wong a TechCrunch. “El aspecto ético depende de la intención. Pero cualquiera puede tomar el código fuente, reutilizarlo y usarlo de manera que deje a ciertos grupos de personas vulnerables “.
Crisis de identidad
Clubhouse permite a las personas crear salas de chat públicas, que están disponibles para cualquier usuario que se una antes de que una sala alcance su capacidad máxima, y salas privadas, a las que solo pueden acceder los anfitriones de las salas y los usuarios autorizados por los anfitriones.
Pero no todos los usuarios son conscientes de la naturaleza abierta de las salas públicas de Clubhouse. Durante su breve período de disponibilidad en China, la aplicación se vio inundada de China continental debatiendo temas políticamente delicados desde Taiwán hasta Xinjiang, que están fuertemente censurados en el ciberespacio chino. Algunos usuarios chinos atentos especularon sobre la posibilidad de ser interrogados por la policía por realizar comentarios sensibles. Si bien no se ha informado públicamente de tal evento, las autoridades chinas han prohibido la aplicación desde el 8 de febrero.
El diseño de Clubhouse está por naturaleza en desacuerdo con el estado de comunicación que pretende lograr. La aplicación anima a las personas a utilizar su identidad real: el registro requiere un número de teléfono y la invitación de un usuario existente. Dentro de una habitación, todos pueden ver quién más está allí. Esta configuración infunde confianza y comodidad en los usuarios cuando hablan como si estuvieran hablando en un evento de networking.
Pero las aplicaciones de terceros que pueden extraer las fuentes de audio de Clubhouse muestran que la aplicación ni siquiera es semipública: es pública.
“Estos clientes externos destacan las salas de mejoras de seguridad y privacidad en las que Clubhouse puede trabajar. Si es posible transmitir audio mediante programación desde la aplicación Clubhouse, significa que también podría ser posible recopilar automáticamente datos de audio de las salas del Clubhouse ”, observó Wong.
“Clubhouse podría mitigar esto al garantizar que los usuarios solo puedan escuchar una habitación a la vez”, agregó.
Desorden de backend
Más problemático es que los usuarios pueden “escuchar fantasma”, como desarrollador Zerforschung encontró . Es decir, los usuarios pueden escuchar la conversación de una sala sin que se muestre su perfil a los participantes de la sala. La escucha clandestina es posible mediante el establecimiento de una comunicación directa con Agora, un proveedor de servicios empleado por Clubhouse. Como descubrieron varios investigadores de seguridad, Clubhouse se basa en la tecnología de comunicación de audio en tiempo real de Agora. Las fuentes también han confirmado la asociación con TechCrunch.
Aquí se necesita alguna explicación técnica. Cuando un usuario se une a una sala de chat en Clubhouse, realiza una solicitud a la infraestructura de Agora, como descubrió el Stanford Internet Observatory . Para realizar la solicitud, el teléfono del usuario se comunica con la interfaz de programación de aplicaciones (API) de Clubhouse, que luego crea “tokens”, el bloque de construcción básico en la programación que autentica una acción, para establecer una vía de comunicación para el tráfico de audio de la aplicación.
Ahora, el problema es que puede haber una desconexión entre Clubhouse y Agora, permitiendo que el extremo Clubhouse, que administra los perfiles de usuario, esté inactivo mientras que el extremo Agora, que transmite datos de audio, permanece activo, como señaló el analista de tecnología Daniel Sinclair . Es por eso que los usuarios pueden seguir escuchando a escondidas una sala sin que se muestre su perfil a los participantes de la sala.
La asociación Agora ha provocado otras formas de miedo. La compañía, que opera principalmente desde EE. UU. Y China, reveló en su prospecto de oferta pública inicial que sus datos pueden estar sujetos a la ley de ciberseguridad de China, que requiere que los operadores de red en China ayuden en las investigaciones policiales. Esa posibilidad, como señala el Stanford Internet Observatory, depende de si Clubhouse almacena sus datos en China.
Si bien la API de Clubhouse está prohibida en China, la API de Agora parece desbloqueada. Las pruebas de TechCrunch muestran que los usuarios actualmente necesitan una VPN para unirse a una sala, una acción administrada por Clubhouse, pero pueden escuchar la conversación de la sala, que es facilitada por Agora, sin la VPN apagada. ¿Cuál es la forma más segura para que los usuarios con sede en China accedan a la aplicación, dada la actitud oficial de que no debería existir? Vale la pena señalar que la aplicación no estaba disponible en la tienda de aplicaciones china incluso antes de su prohibición, y los usuarios chinos necesitaban descargarla a través de soluciones alternativas.
El equipo de Clubhouse puede estar abrumado por preguntas sobre datos en los últimos días, pero estas primeras observaciones de investigadores y piratas informáticos pueden instarlo a corregir sus vulnerabilidades antes, allanando el camino para crecer más allá de sus varios millones de usuarios y su marca de valoración de mil millones de dólares .
Información extraída de Techcrunch, puedes ingresar en su sitio web oficial https://techcrunch.com/