Bezpečnostní novinky

Nová bezpečnostní rizika na ClubHousu

Avast, 9. únor 2021

Bezpečnostní experti našli hned několik chyb, kvůli kterým byste si registraci na nové platformě měli raději rozmyslet

Už minulý týden jsme se zaměřili na bezpečnost sociální sítě ClubHouse, která je u nás teprve pár týdnů. Od té doby jsme objevili několik dalších rizik, kvůli kterým si registraci na nové platformě možná rozmyslíte. 

Než dáte nějaké platformě přístup k množství svých blízkých a jejich jménům, telefonům, e-mailovým adresám, měli byste si to dvakrát rozmyslet. Abyste nemuseli své kontakty sdílet, můžete pozvánku použít a sami další nerozesílat, ale samozřejmě tím omezíte svoje síťovací možnosti.  Hlavní problém ClubHousu  tak netkví ve sdílení vašich vlastních údajů, ale právě ve sdílení kontaktů vašich blízkých a kolegů. Je nikdo o povolení nežádal,” komentoval bezpečnostní expert Avastu Luis Corrons.

Abyste získali pozvánky pro své přátele, musíte s aplikací sdílet všechny vaše kontakty. ClubHouse si tak může vytvořit rozsáhlou síť vztahů mezi uživateli a zanalyzovat váš okruh přátel. ClubHouse vám dokonce nahlásí, kolik má váš známý na platformě přátel.

Víme, jak svět funguje, a nejsme tak naivní jako před 15 lety, kdy vznikl Facebook, který začal naše data brzy poté monetizovat. ClubHouse si žádá vaše kontakty, z kterých bude dříve či později profitovat. A to ani nemluvím o tom, co by se mohlo stát, kdyby došlo k jeho napadení a data by se dostala do rukou kyberzločinců nebo zpravodajských služeb,” vysvětluje Luis. 

Z aplikace lze navíc stahovat kvalitní zvukový záznam i přes výslovný zákaz jejích tvůrců. Stačí k tomu provést softwarovou úpravu na telefonech s iOS, tzv. „jailbreak”. Pak funguje i nahrávání obrazovky. Mezi další problémy aplikace se řadí i tokeny, které se při registraci přiřadí k novému účtu, a bohužel se nikdy nemění. Kyberzločinci tím mohou získat přístup k účtům a zneužít je. V zahraničí se také objevují zprávy o zranitelnosti, která hackerům umožňuje nabourání se do místností. Útočník může poslouchat cizí konverzace bez toho, aby o něm kdokoli věděl, a dokonce do nich bez dovolení zasahovat a nahrávat je.

Ukázalo se také, že se z aplikace dá poměrně jednoduše získat velké množství dat, a to za použití API. Podle odborníků by stačil jediný víkend na získání dat od 2,8 milionů uživatelů platformy. I když k útoku ze strany kyberzločinců nedojde, může osobní informace svých uživatelů zneužít platforma samotná. ClubHouse ve svých podmínkách jasně uvádí, že vaše osobní data použije mimo jiné za účelem tvorby nových produktů a služeb. Dle těchto informací vaše data prodána nebudou, na druhou stranu mohou být sdílena s přidruženými společnostmi, prodejci a poskytovateli služeb,” popisuje Luis Corrons.  

Kromě sofistikovanějších útoků by uživatelé měli počítat také s možností útoku hrubou silou. Při registraci uživatelé dostanou zprávu na své telefonní číslo se čtyřmístným kódem. Pak mají 15 pokusů na zadání tohoto kódu a potom ClubHouse účet uzamkne. To je poměrně štědrý počet, který kyberzločinci mohou zneužít a do účtu se dostat právě hrubou silou. 

Dalším důvodem ke znepokojení jsou i nenávistné projevy, na jejichž nebezpečí jsme upozorňovali už v článku, v němž jsme sociální síť našim uživatelům představovali. V té době se u nás platforma skandálům vyhýbala. Ruku v ruce s jejím rychlým rozšířením však vyvstává potřeba začít místnosti před podobnými projevy hlídat.



Příklad nenávistných projevů na sociální síti ClubHouse

Pokud se debata ubírá nevhodným směrem, může ji zastavit moderátor místnosti. Moderátor má právo ukončit celou místnost, a ClubHouse přidal i bezpečnostní opatření ztlumení a zablokování účastníků v místnosti. Jenže co když moderátor je tím, kdo diskuzi naruší? Zbývá jedině nahlášení místnosti. To může provést každý účastník diskuze, pokud má pocit, že někdo porušuje pravidla komunity. Na svém webu ClubHouse uvádí, že bere každé nahlášení velice vážně.

Kdykoli někdo nahlásí porušení podmínek užití nebo naše pravidla komunity, okamžitě to prošetřujeme. I když o vyšetřováních veřejně nemluvíme z důvodu ochrany soukromí našich uživatelů, dochází k nim, a když je potvrzeno porušení pravidel užívání, jsou přijata náležitá nápravná opatření,” píše platforma na svém oficiálním webu

Používáte ClubHouse? Nebo se mu raději vyhnete? Ať už se rozhodnete jakkoli, o bezpečnostních novinkách týkajících se nové hlasové sociální sítě vás budeme informovat také na naší facebookové stránce, tak ji nezapomeňte sledovat!