Clubhouse non è più disponibile in Cina, ma gli esperti dello Stanford Internet Observatory hanno scoperto che prima del ban era teoricamente possibile l’accesso all’audio da parte del governo. L’azienda che sviluppa l’app per iOS (Alpha Exploration) ha promesso l’implementazione di nuove misure di sicurezza per bloccare eventuali tentativi di spionaggio.
Clubhouse: crittografia contro gli spioni
Clubhouse è disponibile in tutto il mondo, ad eccezione della Cina. Gli utenti hanno tuttavia trovato il modo di scaricare l’app e accedere alla piattaforma (prima dell’8 febbraio, giorno del ban governativo). Lo Stanford Internet Observatory ha scoperto che una parte dell’infrastruttura di back-end viene fornita da Agora, una startup di Shanghai che ha uffici nella Silicon Valley.
📢 New work out today from our Tech team & China research team: @joinClubhouse app recently became popular in 🇨🇳. We looked at its data security practices & found a potential risk to mainland Chinese users.
Here are our key findings 👋🧵⤵️
(1/8)
— Stanford Internet Observatory (@stanfordio) February 13, 2021
Agora deve rispettare le leggi cinesi sulla cybersicurezza, quindi è obbligata a fornire tutti i dati richiesti durante le indagini su persone considerate un pericolo per la sicurezza nazionale. Gli esperti di Stanford hanno scoperto che gli identificatori (ID) dell’utente e delle chatroom sono trasmessi in chiaro e Agora potrebbe anche accedere all’audio. Alcuni metadati delle stanze sono stati inviati a server posizionati in Cina e l’audio a server gestiti da entità cinesi.
Dato che i metadati inviati non sono cifrati, il governo cinese potrebbe intercettarli. L’audio degli utenti viene conservato temporaneamente da Clubhouse. Se ciò avviene negli Stati Uniti, la Cina non può accedervi. Ma se passa per i server di Agora, allora gli utenti cinesi potrebbero essere spiati. Questo perché, al momento, non viene utilizzata la crittografia end-to-end.
Alpha Exploration ha rilasciato una dichiarazione ufficiale, confermando che gli utenti cinesi hanno utilizzato un workaroud per scaricare Clubhouse, quindi le conversazioni potrebbero essere state trasmesse tramite server cinesi. La software house ha inoltre confermato che i ping di rete contenenti gli ID degli utenti sono inviati ai server di tutto il mondo (inclusi quelli cinesi) per determinare il percorso più veloce.
Nelle prossime 72 ore verrà tuttavia aggiunta la crittografia e bloccato l’invio dei ping ai server cinesi. Una società di sicurezza esterna avrà il compito di verificare l’attuazione delle modifiche.