Специалисты центра цифровой экспертизы Роскачества оценили безопасность набирающего популярность приложения Clubhouse и выявили пять потенциально опасных моментов, связанных с работой социальной сети. Рассказываем, какие проблемы обнаружили эксперты.
Доступ к телефонной книге
Роскачество указывает, что при установке Clubhouse запрашивает доступ к списку контактов, а потом предлагает пригласить всех, кто находится в адресной книге пользователя. Таким образом, людям становятся очевидны все социальные связи друг друга, в том числе те, которые они, возможно, не хотели бы афишировать. При этом сервис не предоставляет возможности удалить информацию, которой пользователь поделился с ним — по крайней мере, пока.
Технически администрация соцсети объясняет необходимость сканирования контактов выдачей приглашений на вступление. Однако конкретный номер пользователя для этой цели вбить пока нельзя — приходится давать доступ к телефонной книге целиком, отмечают эксперты. Какие данные о социальных связях и в каком виде хранит приложение — неизвестно.
Простор для мошенников
Мошенники используют невозможность свободно зарегистрироваться в соцсети, предлагая россиянам на Avito и «Юле» приобрести приглашения в Clubhouse с предоплатой – за это они просят от нескольких сотен до 15 000 рублей. Из-за этого площадки для бесплатных объявлений запретили публикации со словом «Clubhouse» в названии. Правда, это вряд ли остановит аферистов, и они наверняка найдут другой способ, пока соцсеть не перестанет быть закрытой.
Кроме того, специалисты отмечают, что отсутствие приложения Clubhouse для смартфонов на Android делает перспективным для злоумышленников создание его, которые могут позиционироваться как неофициальное приложение соцсети, а на деле оказаться вирусом. Руководитель центра цифровой экспертизы Роскачества Антон Куканов рекомендует воздержаться от скачивания неоригинального приложения соцсети и дождаться официального релиза программы.
Запись разговоров
Сейчас в соцсети действует запрет на запись разговоров без письменного разрешения всех участников беседы. При попытке сделать это владельцу аккаунта грозит блокировка. Однако из политики конфиденциальности Clubhouse, которую принимают пользователи при вступлении, следует, что сам сервис может записывать разговоры в виртуальных «комнатах» и хранить эти записи. Администрация соцсети объясняет это борьбой с терроризмом, использованием «языка вражды» или за сохранность персональных данных.
Специалисты по кибербезопасности советуют не говорить в Clubhouse ничего, что нельзя было бы обсудить публично — в том числе в приватных комнатах. Высказывания могут оказаться в руках хакеров в результате утечки или взлома. Причем для доступа к разговорам вовсе не обязательно организовывать хакерскую атаку — пользователи и сами могут обойти ограничение на запись разговоров с помощью сторонних приложений.
Утечка данных
Роскачество обращает внимание на исследование экспертов по кибербезопасности Стэнфордской интернет-обсерватории (SIO). В нем говорится, что для передачи аудио в реальном времени разработчик соцсети Clubhouse напрямую использует наработки китайской компании Agora. Анализ трафика специализированным ПО Wireshark показал, что, по состоянию на середину февраля 2021 года, Agora передает данные пользователей на китайские серверы в открытом виде, безо всякого шифрования. При этом неясно, с какой целью и в каком объеме китайская компания может использовать эти данные.
Эксперты Роскачества отмечают, что все перечисленные ими проблемы свидетельствуют о том, что в настоящий момент Clubhouse не отвечает базовым критериям безопасности. Они настаивают на том, что лучшим решением будет дождаться момента, когда эти проблемы будут исправлены.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.