Clubhouse fortalecerá a segurança depois que os pesquisadores descobrirem que o governo chinês pode acessar os dados

Um grupo de pesquisadores do Stanford Internet Observatory determinou que as práticas de proteção de dados do Clubhouse permitiam que os dados de seus usuários, possivelmente incluindo seu áudio bruto, fossem potencialmente acessados pelo governo chinês.

Em um novo relatório, os pesquisadores da SIO revelam que o Clubhouse usa a empresa chinesa Agora, que fornece uma plataforma de engajamento de voz e vídeo em tempo real, para fornecer sua infraestrutura de back-end. Isso significa que o Clubhouse usa a plataforma Agora para a infraestrutura "porcas e parafusos" de seu aplicativo.

É aqui que começa a ficar alarmante: os pesquisadores SIO descobriram que quando os usuários entram em um canal no Clubhouse, um pacote contendo metadados sobre cada usuário é enviado para a infraestrutura de back-end do Agora. Os metadados incluem a ID exclusiva do Clubhouse dos usuários e a ID da sala à qual estão ingressando. Não é criptografado, “o que significa que qualquer terceiro com acesso ao tráfego de rede de um usuário pode acessá-lo”.

“Dessa forma, um bisbilhoteiro pode descobrir se dois usuários estão conversando entre si, por exemplo, detectando se esses usuários estão entrando no mesmo canal”, escreveram os pesquisadores.

Além disso, os pesquisadores descobriram que o Agora provavelmente teria acesso ao tráfego de áudio bruto do Clubhouse. Isso significa que se o áudio não for criptografado de ponta a ponta - algo que o SIO diz ser "extremamente improvável" - o Agora poderia interceptar, transcrever e armazenar o áudio.

Alguns de vocês podem estar se perguntando por que é importante se o Clubhouse tem um provedor chinês, que também tem escritórios no Vale do Silício. Isso é extremamente importante porque significa que o Agora deve cumprir a lei de segurança cibernética da China. Os pesquisadores destacam que a própria Agora reconheceu que seria obrigada a prestar assistência e apoio à China em questões relacionadas à segurança nacional e investigações criminais. Em outras palavras:

“Se o governo chinês determinasse que uma mensagem de áudio ameaçava a segurança nacional, a Agora seria legalmente obrigada a ajudar o governo a localizá-la e armazená-la”, escreveram.

De acordo com o relatório, o Agora afirma que não armazena áudio ou metadados do usuário, exceto para monitorar a qualidade da rede e cobrar de seus clientes. No entanto, os pesquisadores observam que ainda é teoricamente possível para os governos chineses acessar as redes do Agora e registrar os dados do usuário.

Agora disse à Reuters no sábado que não tinha comentários sobre qualquer relacionamento com o Clubhouse. Um porta-voz disse que não tem acesso ou armazena dados pessoais e que não roteia o tráfego de voz e vídeo gerado fora da China, incluindo o tráfego de usuários dos EUA, através da China.

O SIO destacou o risco potencial enfrentado pelos usuários chineses do Clubhouse se o governo conseguir identificar os usuários do aplicativo, especialmente devido à atividade recente do aplicativo no país. Antes de o governo bloqueá-lo no início desta semana, os usuários chineses do aplicativo discutiram abertamente os campos de concentração uigures em Xinjiang e os protestos na Praça Tiananmen, entre outros, tópicos que são restritos na China.

Essa identificação dos usuários pelo governo pode levar a represálias e punições, ou mesmo a ameaças veladas.

“Conversas sobre os protestos de Tiananmen, campos de Xinjiang ou protestos de Hong Kong podem ser qualificadas como atividade criminosa. Eles já se qualificaram antes ”, disseram os pesquisadores.

Os pesquisadores decidiram revelar esses problemas de segurança porque as falhas eram fáceis de encontrar. Além disso, eles disseram que os problemas representam riscos de segurança imediatos para milhões de usuários do Clubhouse, especialmente os da China. A equipe SIO também descobriu outras falhas de segurança que relatou ao Clubhouse em particular e disse que as revelaria quando fossem corrigidas ou após um determinado prazo.

O Clubhouse respondeu ao relatório da SIO e disse que estava “profundamente comprometido com a proteção de dados e privacidade do usuário”. O aplicativo afirmou que, embora não tenha lançado o Clubhouse na China, alguns encontraram uma solução alternativa para fazer o download do aplicativo e que "as conversas das quais eles faziam parte poderiam ser transmitidas por servidores chineses".

Na resposta, que os pesquisadores publicaram na íntegra, o Clubhouse disse que os pesquisadores os ajudaram a identificar áreas onde poderia fortalecer sua proteção de dados.

"Por exemplo, para uma pequena porcentagem de nosso tráfego, os pings de rede contendo a ID do usuário são enviados para servidores em todo o mundo - que podem incluir servidores na China - para determinar a rota mais rápida para o cliente”, disse Clubhouse. “Nas próximas 72 horas, implementaremos alterações para adicionar criptografia e bloqueios adicionais para evitar que os clientes do Clubhouse transmitam pings para servidores chineses.”

Fonte: Gizmodo US

Os cibercriminosos compraram anúncios no Facebook para um aplicativo Fake Clubhouse que estava repleto de malware

Os cibercriminosos têm pressionado os usuários do Facebook a baixar um aplicativo Clubhouse “para PC”, algo que não existe. O aplicativo é na verdade um trojan projetado para injetar malware em seu computador. O popular novo aplicativo de bate-papo somente para convidados está disponível apenas no iPhone, mas o interesse mundial na plataforma aumentou e os usuários estão clamando por versões para Android e, presumivelmente, para “PC”.

De acordo com o TechCrunch, a campanha maliciosa usou anúncios e páginas do Facebook para direcionar os usuários da plataforma a uma série de sites falsos do Clubhouse. Esses sites, hospedados na Rússia, pediam aos visitantes que baixassem o aplicativo, que prometiam ser apenas a versão mais recente do produto: “Tentamos tornar a experiência o mais suave possível. Você pode conferir agora mesmo! ” um proclama.

No entanto, uma vez baixado, o aplicativo começa a sinalizar para um servidor de comando e controle (C&C). Em ataques cibernéticos, o C&C é normalmente o servidor que informa o malware o que fazer depois de infectar um sistema. O teste do aplicativo por meio da sandbox de análise de malware VMRay aparentemente mostrou que, em uma instância, ele tentou infectar um computador com ransomware.

Tirar proveito de um novo produto popular para implantar malware é uma jogada bastante clássica do cibercriminoso - e dada a proeminência do Clubhouse no momento, não é surpresa que isso esteja acontecendo. Na verdade, pesquisadores descobriram recentemente um aplicativo Clubhouse falso diferente. Lukas Stefanko, da empresa de segurança ESET, reveloucomo outra “versão Android” fictícia do aplicativo estava agindo como uma fachada para criminosos que buscavam roubar as credenciais de login dos usuários de outros serviços.

Felizmente, não parece que esta campanha mais recente foi muito popular, já que o TechCrunch relata que as páginas do Facebook associadas ao aplicativo falso tiveram apenas alguns curtidas.

É um pequeno incidente interessante, embora possa ser difícil descobrir mais sobre esta campanha complicada porque os sites que hospedam o aplicativo falso aparentemente desapareceram. A remoção dos sites parece ter desativado o malware. O Facebook também retirou os anúncios associados à campanha.

No Internet Connection