ClubHouse не отвечает базовым критериям безопасности, заявили эксперты Центра цифровой экспертизы Роскачества. Они указали на пять потенциально опасных моментов, связанных с голосовой соцсетью.
1. Доступ к списку контактов
При установке приложение ClubHouse запрашивает разрешение на доступ к списку контактов, а потом предлагает пригласить всех, кто находится в адресной книге пользователя. Возможности удалить информацию, которой пользователь поделился с сервисом, пока нет.
Технически администрация соцсети объясняет необходимость сканирования контактов выдачей инвайтов. Однако для этой цели пока нельзя вбить конкретный номер пользователя, приходится давать соцсети доступ к телефонной книге целиком.
2. Эксклюзивное членство привлекает мошенников
На Avito, Юле и других площадках, а также в соцсетях и мессенджерах стали предлагать приобрести приглашения (инвайты) в Clubhouse с предоплатой от символических нескольких сотен рублей до 15 тыс. и даже больше. Разумеется, после оплаты никакого инвайта покупатель не получает, а денег – лишается. В настоящее время из-за многочисленных мошенников площадки объявлений начали полностью запрещать публикацию любых объявлений с Clubhouse в названии.
3. Эксклюзивность платформы также привлекает мошенников
Сеть уже наводнили фейковые приложения, якобы представляющие долгожданную версию Clubhouse для смартфонов на Android. Некоторые разработчики даже временно переименовывают свои приложения в «ClubHouse», чтобы их скачали случайно, желая поймать волну хайпа.
4. Разговоры записываются и могут утечь в руки третьих лиц
В соцсети есть формальный запрет на запись разговоров без письменного разрешения всех участников беседы, за это даже грозят блокировкой аккаунта. Однако сам сервис пренебрегает собственным правилом: в политике конфиденциальности, которую принимает пользователь, говорится, что Clubhouse может записывать разговоры в комнатах и хранить их какое-то время. Это объясняется соображениями безопасности (борьба с терроризмом, хейт-спичем или разглашением персональных данных).
По-видимому, эти записи могут храниться достаточно долго. 20 февраля стало известно о хакерской атаке, в результате которой в сеть утекли разговоры части пользователей, которые находились в закрытой комнате. Хакерская атака, впрочем, необязательна: пользователи могут и сами обойти ограничение записи разговоров с помощью сторонних приложений.
5. К Clubhouse есть общие вопросы по безопасности
Согласно исследованию экспертов по кибербезопасности Стэнфордской интернет-обсерватории (SIO), разработчик напрямую использует наработки китайской компании Agora для передачи аудио в реальном времени. Анализ трафика специализированным ПО Wireshark показал, что по состоянию на середину февраля 2021 года данные пользователей передаются в открытом виде на китайские сервера без шифрования. Неясно, с какой целью и в каком объеме китайская компания может использовать эти данные пользователей.
Напомним, в середине февраля голосовая соцсеть Clubhouse стала самым скачиваемым бесплатным приложением в России. В связи с растущей популярностью Clubhouse даже нанял разработчика версии приложения на Android. Тем временем в России уже появилась неофициальная Android-версия Clubhouse. Ее разработал бывший разработчик ВКонтакте для Android Григорий Клюшников.
Источник: пресс-релиз Роскачества