Las redes sociales o servicios nuevos o que no han sido usados masivamente hasta cierto punto tienen el problema de que, a menudo, surgen problemas de seguridad que los desarrolladores no habían tenido en cuenta. Durante la cuarentena fue notorio el caso de Zoom, donde cada pocos días se descubrían nuevas vulnerabilidades y carencias, junto a carencias evidentes como la falta de cifrado de extremo a extremo.
Ahora, tras una investigación del Stanford Internet Observatory (SIO), la red social de audio Clubhouse está en el punto de mira al tener, según esa institución, problemas de seguridad que han permitido que el Gobierno chino pueda tener acceso a datos de los usuarios. En concreto, los investigadores de Stanford han declarado que es posible incluso que se accediera al dato bruto de las conversaciones, junto a metadatos que incluye el ID de la aplicación y el ID de la reunión o sala. Esos datos se transmitían sin cifrado y en texto plano.
Clubhouse dice que hará cambios para impedir la filtración de datos
El caso de Clubhouse es extraño, porque a la vez que se ha publicado la investigación, la plataforma ha sido bloqueada en el país ante las conversaciones que se estaban dando o podían darse sobre elementos polémicos del presente del país y del pasado, como los eventos de la plaza de Tiananmén de 1989. Oficialmente, aunque el servicio no estaba disponible allí, algunos usuarios habían encontrado la forma de usar el servicio allí. Así, antes del bloqueo del Gobierno, las conversaciones pudieron ser interceptadas.
La raíz del problema está en la compañía Agora Inc., que proporciona servicios de infraestructura a Clubhouse y se tiene sede en Shanghai. Según el SIO, cualquier persona o grupo que observase el tráfico podría encontrar relación entre los ID y las salas compartidas. Aunque no se transmitieran nombres de usuario, aseguran que no sería difícil identificar a personas.
"En al menos un caso, SIO observó que los metadatos de la sala se transmitían a servidores que creemos que están alojados en la República Popular China y el audio a servidores administrados por entidades chinas y distribuidos en todo el mundo a través de Anycast. También es posible conectar las ID de la casa club con los perfiles de usuario".
Agora ha contado al SIO que no almacenan archivos de audio o metadatos, y que lo que hacen es monitorizar la calidad de la red, y que, dado que los servidores se encuentran en Estados Unidos, el Gobierno no puede acceder a los datos. La respuesta de Clubhouse ha sido diplomática pero positiva hacia la investigación, mencionando que van a implementar cambios "para añadir cifrado y bloqueos para impedir que los clientes de Clubhouse transmitan pings a los servidores chinos". Asimismo, afirman que contratarán a una empresa de seguridad externa para revisar y validar las actualizaciones de la aplicación.
Vía | The Verge Más información | Stanford Internet Observatory
Ver 3 comentarios