Clubhouse je hitem, ale zabezpečení aplikace pokulhává

Clubhouse svou exkluzivitou vyvolal rozruch. Ale odpovídá mediálnímu poprasku i zabezpečení aplikace a platformy?

PRAHA – 22. března 2021 — Clubhouse je fenoménem poslední doby. Láká známé osobnosti, influencery i běžné uživatele, kteří chtějí diskutovat o nejrůznějších tématech. Aplikace Clubhouse je sice stále ještě v betaverzi, přesto se jí podařilo vytvořit celosvětový hype a překonat hranici 10 milionů aktivních uživatelů a hodnotu 1 miliardy dolarů, což ji řadí po bok známých aplikací, jako jsou Uber nebo AirBnb. Stejně jako u každé nové populární aplikace i u Clubhouse existuje řada důležitých otázek ohledně bezpečnosti a soukromí.

Clubhouse je audio sociální síť, ve které může konverzace poslouchat virtuální publikum. Mohli bychom také říci, že se v podstatě jedná o sbírku exkluzivních živých podcastů nebo rozhlasových pořadů s různými tématy, jako je obchod, kultura, politika atd. Clubhouse uvádí, že konverzace po ukončení zmizí a nelze je nahrávat. V současné době je aplikace pouze pro iOS a lidé se mohou připojit, pouze když obdrží pozvánku od stávajícího člena.

Aplikace ovšem vyvolává znepokojení v souvislosti s ochranou soukromí. Po obdržení pozvánky aplikace získá přístup ke všem kontaktům v zařízení a nabízí pomoc s vyhledáním dalších uživatelů Clubhouse. Snaží se také uživatele přimět k propojení aplikace s twitterovými a instagramovými účty pro lepší vyhledávání kontaktů.

„Na tom by nebylo nic úplně překvapivého, protože podobný postup volí běžné i další populární aplikace. Není ale zřejmé, jaká data aplikace Clubhouse přesně extrahuje nebo sdílí s jinými sociálními sítěmi. Řada uživatelů dokonce uvedla, že jejich kontaktní údaje byly sdíleny s ostatními uživateli Clubhouse bez jejich svolení. V této souvislosti je tedy dobré si připomenout známý výrok: Pokud za produkt neplatíte, pak jste sami produktem,“ říká Petr Kadrmas, Security Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point.

Kdopak to poslouchá?

Nejasná je nejen práce s kontakty uživatelů, ale také další aspekty bezpečnosti a soukromí. Stanford Internet Observatory (SIO) upozorňuje, že dodavatelem back-end infrastruktury pro aplikaci Clubhouse je šanghajská společnost Agora a unikátní uživatelská ID a ID chatovacích místností jsou překvapivě posílány z aplikace do infrastruktury v prostém textu, takže k informacím může mít potenciálně přístup čínská vláda. Zároveň není vyloučeno, že má čínská vláda přístup k veškerému audio obsahu. SIO dodává, že metadata z Clubhouse diskuzí jsou přenášena na servery pravděpodobně hostované v Číně. Clubhouse uvádí, že byly podniknuty takové kroky, aby ke zneužití nemohlo dojít.

V únoru 2021 navíc Bloomberg uvedl, že neidentifikovaný uživatel streamoval zvuk z několika chatovacích místností Clubhouse na vlastních webových stránkách. Clubhouse sice tvrdí, že obsah diskuzí zmizí po jejich ukončení, ale to samozřejmě neplatí pro zvuk extrahovaný z aplikace a hostovaný jinde. Uživatel streamující diskuze byl aplikací zablokován a Clubhouse nainstaloval nová bezpečnostní opatření, aby se situace neopakovala.

„Ale neexistuje žádná záruka, že zvuk nebude možné z aplikace extrahovat jinými metodami a v budoucnu zveřejnit. Podobně jako je to například u zpráv v soukromé skupině na WhatsAppu: Pokud někdo z dané skupiny vynese zprávy nebo obsah na jinou platformu, pak už sotva můžeme mluvit o záruce nějakého soukromí,“ dodává Petr Kadrmas.

Podvodné aplikace a další hrozby

Vzhledem k jisté exkluzivitě Clubhouse aplikace hledá řada uživatelů jiné cesty, jak se do klubu dostat, což otevírá příležitosti pro podvodníky. Objevily se například zprávy, že lidé prodávají pozvánky do Clubhouse. Někteří prodejci mohou být legitimní, ale kupující pozná, zda je pozvánka pravá, až když zaplatí. Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje také na nejrůznější falešné verze aplikace Clubhouse, jejichž cílem je získávat osobní data a přihlašovací údaje obětí. Jedna taková podvodná aplikace byla nalezena dokonce v oficiálním obchodu Google Play, což ukazuje, že podvodníci dokázali obelstít i bezpečnostní mechanismy společnosti Google.

Clubhouse vzbudil zájem uživatelů po celém světě, prudký nárůst předčil i očekávání autorů. Aplikace je ještě v betaverzi, což zvětšilo problémy s ochranou soukromí a zabezpečením, protože podobné věci by pravděpodobně byly vyřešeny ještě před spuštěním plné verze, aniž by se o nich veřejnost dozvěděla. Přesto uživatelé musí tyto potenciální bezpečnostní slabiny zvážit.

A jak se chránit před kyberhrozbami, podvody a potenciálními škodlivými aplikacemi?

  1. Aktualizujte svůj operační systém. Mobilní zařízení by měla vždy používat nejnovější verzi operačního systému, aby nemohlo dojít ke zneužití známých zranitelností.
  2. Instalujte pouze aplikace z oficiálních obchodů s aplikacemi. Snižuje to pravděpodobnost neúmyslné instalace mobilního malwaru nebo škodlivé aplikace. Nezapomeňte, že Clubhouse je aktuálně k dispozici pouze v Apple App Store.
  3. Pečlivě zkontrolujte oprávnění aplikace a jaký má přístup k vašim kontaktům a datům: Nikdy bezhlavě neklikejte na „Přijmout vše“.
  4. Buďte obezřetní, když vám přijde nějaké doporučení nebo pozvání do aplikace, i když je to třeba od někoho, koho znáte.
  5. Používejte mobilní zabezpečení. Doporučujeme nasadit pokročilé mobilní bezpečnostní řešení s integrovaným antivirem a detekcí hrozeb. Harmony Mobile je špičkové řešení, které chrání před nejrůznějšími mobilními útoky, včetně škodlivých aplikací.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software TechnologiesCheck Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.