Насколько безопасна модная тусовка?

Специалисты Internet Observatory в Стэнфорде изучили поведение приложения Clubhouse и опубликовали краткий отчет. Оказалось, в качестве технологической платформы Clubhouse использует разработки компании Agora Lab, которая специализируется на RTC-решениях для голосовых и видео звонков и стриминге. Ребята в Clubhouse не очень заморачиваются безопасностью, поэтому при входе в любую комнату приложение передает совершенно открыто текстом уникальный ID пользователя и ID комнаты, делая возможным перехват информации, кто какие комнаты посещает.

Но это еще полбеды, а вот то, что Agora – китайская компания и должна подчиняться требованиям китайского законодательства – это серьезнее. Поскольку физически голосовой трафик проходит через серверы Agora, в том числе расположенные в Китае (возможно), то китайским органам очень просто можно получить доступ к собственно аудио по крайней мере части комнат. Clubhouse утверждает, что запись комнаты ведется только в то время, пока существует комната, если никто из пользователей не пожаловался на нарушение правил, но даже в этом случае где-то эта запись хранится хотя бы короткое время.

Понятно, что вопрос не в том, что китайские правоохранительные органы вдруг смогут послушать интервью Илона Маска или диалог Андреесена с MC Hammer-ом – в сети уже ведется довольно много других разговоров, например, существуют комнаты для китайских диссидентов. Правда, Clubhouse учитывал это и в Китае приложение никогда не было доступно, впрочем, на этой неделе сервис вообще забанили на великом китайском файрволле.

Clubhouse ответил исследователям, сообщив, что серьезно подойдет к вопросам безопасности, которые они подняли, а в течение 72 часов выпустит версию, в которой приложение не будет отправлять никакие пинги с номерами комнат и пользователей через китайские серверы. Вероятность такой отправки и до этого, мол, была крайне невелика, а теперь они её окончательно уничтожат.

Я бы не назвал это проблемами, даже близко похожими на проблемы Zoom в прошлом году, но все же вот вспомнилось.

***

Судя по темпам роста, Clubhouse действительно полетел и летит неплохо. Но методы роста уже начинают вызывать вопросы у специалистов в части privacy – утверждают, что приложение очень настойчиво просит доступ к контактам, а, поскольку инвайт можно выслать только тому, кто есть в контактах, отсутствие доступа к адресной книге лишает вас возможности кого-то пригласить в сеть. Это не единственный пример странного поведения, в статье по ссылке разбираются еще несколько.

Впрочем, у меня есть другая претензия – в месте, где вы можете отправить инвайты, явно не было специалиста по UX, поэтому, если какой-то контакт заведен в адресной книге дважды с разными телефонами, вы можете только догадываться, на какой номер у вас уйдет инвайт, – у меня так пару инвайтов сгорело, поскольку я реальный номер увидел уже при отправке SMS на давно заброшенный номер.

Насколько безопасна модная тусовка?

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365