Уязвимость в Clubhouse позволяет тайно прослушивать разговоры пользователей

Безопасность Clubhouse вызывает всё больше вопросов. Неизвестный пользователь смог перенаправить аудиопотоки из «нескольких комнат» на свой сторонний веб-сайт. Об этом пишет Bloomberg.

Ранее в сервисе обнаружили уязвимость, из-за которой Китай может получить доступ к данным пользователей:

Хотя представители соцсети и заявили, что установили новые меры безопасности, эксперты утверждают, что платформа, возможно, не в состоянии выполнить такие обещания. Пользователи должны понимать, что все разговоры записываются на сервера стороннего стартапа Agora из Шанхая, поэтому Clubhouse не может давать никаких обещаний о конфиденциальности для разговоров, проводимых в любой точке мира, считают исследователи из Центра по изучению политики в отношении интернета в Стэнфорде.

Эксперты по кибербезопасности заметили, что звук и метаданные передаются из Clubhouse на сторонний сайт. Для того, чтобы тайно подслушивать чужие разговоры, хакер использовал инструментарий на основе JavaScript.

Кстати, похожим образом работает и Telegram-бот @ClubHouseRec_bot, хотя он создавался для более мирных целей, например, если в данный момент нет возможности прослушать разговор, но хочется сделать это позже. Как и в случае с программой, написанной хакером, этот бот примечателен тем, что работает незаметно. В комнате не появляется сторонний слушатель, поэтому никто из участников не узнает, что разговор записывается.

В Clubhouse отказались объяснить, какие шаги были предприняты для предотвращения подобного нарушения. Это может быть как предотвращение использования сторонних приложений для доступа к аудио в чате без фактического входа в комнату, так и просто ограничение количества комнат, в которые пользователь может войти одновременно.

_{Заглавная фотография: Dmitry Mashkin / Unsplash}