Nelle ultime settimane abbiamo tutti sentito parlare della nuova moda social del momento:
Clubhouse, l’app super-esclusiva di chatroom audio. Il social è organizzato in stanze e in
ogni “room” gli utenti possono scambiarsi messaggi audio su argomenti specifici. L’accesso
al social avviene solo su invito personale di un altro utente e le conversazioni
DOVREBBERO essere cancellate non appena chiusa la stanza, garantendo così la
riservatezza delle informazioni condivise e la privacy degli utenti.
L’attrattività di questo “nuovo” social sta proprio nella sua natura off-the-record.
Fin qui nulla di strano, se non fosse che alcuni ricercatori dello Stanford Internet Observatory
(SIO), a pochi giorni dal debutto del social, hanno scoperto che le informazioni di
identificazione personale, inclusi gli ID degli utenti Clubhouse e delle chatroom, venivano
trasmesse in chiaro, così come alcuni file audio non elaborati. Secondo il rapporto del SIO
sarebbe una società cinese, Agora, la responsabile della trasmissione in chiaro di questi dati
poiché incaricata di fornire il backend al social. Né Agora né Clubhouse hanno commentato
pubblicamente questa partnership.
La falla, in ogni caso, non è sfuggita ad un hacker – presumibilmente cinese -, che è riuscito
a sfruttarla attraverso un sito web di propria creazione per violare il servizio e acquisire flussi
audio dall’app. L’hacker è stato scoperto quando i team dedicati alla sicurezza informatica
hanno notato che l’audio e i metadati venivano trasferiti da Clubhouse ad un altro sito.
L’utente era riuscito a costruire un sistema attorno al toolkit JavaScript per sottrarre queste
informazioni.
Clubhouse ha dichiarato di aver individuato e bannato l’utente dalla piattaforma,
implementando nuove misure di sicurezza per impedire accessi non autorizzati. Già pochi
giorni prima della breccia, la casa di produzione dell’app aveva annunciato un rafforzamento
delle misure di sicurezza con l’introduzione di un sistema di crittografia aggiuntivo per
proteggere le conversazioni tra gli utenti, misure evidentemente non ancora sufficienti vista
la notizia dell’hackeraggio pochissimi giorni dopo.
Che i social, soprattutto agli esordi, abbiano diverse lacune in materia di sicurezza non è di
certo una novità. Quello a cui bisognerebbe prestare attenzione, è il polverone che si alza
attorno all’uscita di nuove piattaforme (spesso esclusive e spesso “super-sicure per gli
utenti”). Queste novità non attirano solo l’attenzione degli utenti ma diventano una vera a
propria “sfida” per gli hacker. Quello che possiamo consigliare a tutti è di cambiare spesso la
password e di non utilizzare mai la stessa su diverse piattaforme. In caso di breccia almeno
il danno sarà arginato.
https://thenextweb.com/security/2021/02/22/clubhouse-audio-leak-china/
https://www.bloomberg.com/news/articles/2021-02-22/clubhouse-chats-are-breached-raising
-concerns-over-security