Фейковые знаменитости, утечка данных и продажа инвайтов: чем опасна соцсеть Clubhouse
С начала 2021 года приложение для голосового общения Clubhouse стоимостью $1 млрд переживает взрывной рост популярности. Интерес к нему подогрел основатель Tesla и SpaceX Илон Маск, который пришел в соцсеть 31 января. По данным на 18 февраля, число загрузок Clubhouse достигло 8 млн по всему миру: за два месяца его популярность выросла в 16 раз. В России Clubhouse скачали 420 000 раз, следует из данных App Annie на 27 февраля. Число активных пользователей с 14 по 27 февраля составило в России 356 000 (согласно информации App Annie).
Пользователи Clubhouse будут сталкиваться с уязвимостями, потому что на раннем этапе разработки создатели приложения, как правило, не могут просчитать все угрозы и сценарии использования сервиса, считает начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. После появления монетизации внутри приложения будут появляться и новые способы для мошеннических действий, предупреждает гендиректор Cross Technologies Евгений Чугунов.
Как Clubhouse может навредить пользователю?
Нетворкинг на стероидах: главное о новой соцсети Clubhouse, которой пользуется Илон Маск
Торговля инвайтами
Чтобы начать пользоваться Clubhouse, пользователь должен получить приглашение (инвайт). В России инвайты продавали на досках объявлений Avito, «Юла», в соцсетях и мессенджерах. В «Юле» Forbes подтвердили, что в середине февраля увидели бурный рост поисковых запросов, связанных с Clubhouse, но отказались раскрыть, сколько таких запросов появилось на площадке. В компании утверждают, что превентивно выявляли потенциальных мошенников, которые собирались дать объявления о продаже инвайтов в Clubhouse, и лишали их доступа к сервису.
В Avito Forbes рассказали, что число объявлений с предложением инвайтов в Clubhouse резко выросло, среди них есть явно спекулятивные, при этом проверить подлинность «товара» невозможно. Поэтому Avito запретила продажу инвайтов на своей площадке. Все объявления исчезли с платформы 17 февраля, на момент блокировки на Avito насчитывалось несколько сотен объявлений о продаже инвайтов стоимостью от двухсот до нескольких тысяч рублей, отметили в компании.
Фейковые приложения
Сейчас Clubhouse могут установить на свое устройство только владельцы iPhone и iPad — версия приложения для Android-устройств пока находится в разработке. Но по мере того, как соцсеть становилась все более популярной, в Google Play стали появляться фейковые приложения со словом «сlubhouse» в названии. Иногда они содержали вредоносный софт.
«Лаборатория Касперского» нашла в сети более 40 файлов для Android, которые эксплуатировали название Clubhouse. Они содержали вредоносное или рекламное программное обеспечение. Установив такую программу, можно было подцепить банковский троян Anubis, рассказал эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Галов. Эта программа для Android может красть финансовые данные, извлекая их из банковских приложений и программ для шопинга, добавил он.
Вредоносные приложения для Android — один из основных способов атаки мобильных устройств, подтверждает технический эксперт Check Point Software Technologies Алексей Белоглазов. Такие приложения позволяют красть данные пользователя, включая контакты, переписку и фото, а также следить за ним по GPS и с помощью камер устройства, прослушивать разговоры и окружение с помощью микрофона, добавил Белоглазов.
Жизнь после хайпа: почему соцсеть Clubhouse может провалиться после стремительного взлета
Доступ к контактам
Чтобы после регистрации в Clubhouse у пользователя появились «друзья», он должен разрешить доступ к контактам в своем iPhone, следует из политики конфиденциальности соцсети. Другими словами, приложение знает, чьи номера телефонов находятся в записной книжке у конкретного пользователя. Это привлекло внимание европейских регуляторов.
Управление Гамбурга по защите данных и свободе информации запросило у создателей Clubhouse информацию о том, соблюдает ли приложение правила, действующие на территории Европы. Управление интересовало, как соцсеть защищает конфиденциальные данные европейских пользователей и их контактов. Комиссар Йоханнес Каспар выразил обеспокоенность тем, что Clubhouse читает адресные книги пользователей и хранит информацию в США. В 2012 году из-за претензий управления другой американской соцсети, Facebook, пришлось пойти на уступки европейским властям. Ирландские власти потребовали, чтобы Facebook отказался от сервиса по идентификации пользователей на фотографиях, и соцсети пришлось это сделать не только в Ирландии, но и по всему ЕС.
Еще на один риск использования Clubhouse обратил внимание колумнист издания OneZero Уилл Оремус. Он рассказал, что, когда предоставил Clubhouse доступ к контактам, приложение предложило ему отправить инвайты его бывшему педиатру, парикмахеру и медицинскому работнику, который заботился об его умирающем отце. Кроме того, каждый раз, когда кто-то из списка контактов регистрируется в соцсети, приложение предлагает поприветствовать этого человека в приватном чате. Зарегистрироваться так, чтобы об этом никто не узнал, не получится. Оремус обращает внимание на то, что в записной книжке пользователей могут быть контакты людей, связи с которыми они хотели бы скрыть — например, конфиденциальные источники журналистов. Кроме того, соцсеть может составить «досье» на человека, который сам не зарегистрировался в соцсети, но есть в записных книжках у нескольких пользователей.
Когда Clubhouse рекомендует отправить инвайты тем пользователям, которых еще нет в приложении, соцсеть показывает число общих контактов с ними. Так некоторые пользователи обнаружили, что у них общий психиатр или поставщик марихуаны с десятками своих знакомых. С кем именно — приложение не позволяет узнать, но наверняка хранит где-то в базе такие данные, указывает Оремус.
Гид по ClubHouse для бизнесменов: что слушать и на кого подписываться
Запись разговоров
В Сlubhouse нет возможности записывать разговоры, но в конце февраля неизвестный пользователь транслировал аудио из нескольких комнат соцсети на свой сторонний веб-сайт с помощью JavaScript, сообщало издание Bloomberg со ссылкой на представителя Clubhouse Риму Бахнаси. Участники комнат не знали про хакерскую атаку. Бахнаси не сообщила подробности взлома, но отметила, что компания «навсегда» заблокировала пользователя-взломщика и ввела новые правила безопасности, чтобы предотвратить подобные инциденты в будущем.
Эксперты Роскачества считают, что хакерская атака для утечки разговоров не обязательна: их можно записывать с помощью сторонних приложений. «Не обсуждайте конфиденциальную информацию, не обманывайтесь видимой приватностью сервиса», — рекомендовало ведомство.
Риск утечки данных в Китай
Центр по изучению политики в отношении интернета Stanford Internet Observatory (SIO) обнаружил потенциальную уязвимость в Clubhouse: соцсеть позволяет получить доступ к необработанным данным пользователей властям Китая. Дело в том, что серверную инфраструктуру для Clubhouse предоставляет Agora Inc. — стартап из Шанхая со штаб-квартирой в Кремниевой долине. Стартап предоставляет услуги «голосовой и видеосвязи в реальном времени» для других разработчиков софта, то есть базовую инфраструктуру. Благодаря этому их партнеры вроде Clubhouse могут сосредоточиться на дизайне интерфейса, отдельных функциях и улучшении пользовательского опыта.
Clubhouse передает Agora уникальный идентификатор пользователя и идентификаторы чат-комнат в виде текста через интернет, что делает их перехват «тривиальным», отмечают в SIO. Аналитики полагают, что Agora получает доступ и к исходному аудио и потенциально может передать его правительству Китая. Любой наблюдатель может легко сопоставить идентификаторы в общих чатах, чтобы увидеть, кто с кем разговаривает, указывают в SIO.
Это прямая угроза безопасности миллионов пользователей соцсети, особенно в Китае, предупреждают аналитики. Agora подчиняется закону КНР о кибербезопасности. В документах, которые Agora подавала в Комиссию по ценным бумагам и биржам США (SEC), говорилось, что она обязана «предоставить помощь и поддержку в соответствии с законодательством [КНР]», включая защиту национальной безопасности и уголовные расследования. Если китайское правительство определит, что голосовое сообщение угрожает национальной безопасности, Agora по закону будет обязана помогать правительству его обнаружить и хранить.
SIO обнаружила и другие дыры в безопасности, о которых пока не сообщала публично, но уведомила Clubhouse.
Хакеры против клерков: как финансовые организации защищают себя и своих клиентов
Отсутствие верификации пользователей
В Clubhouse нет функции верификации пользователей. Любой человек может зарегистрироваться в приложении под видом известной личности, заходить в комнаты от его лица, совершать обманные действия и манипулировать, говорит руководитель сектора информационной безопасности AT Consulting Антон Карданов. Можно с легкостью выдавать себя за других людей, входить в доверие к потенциальным жертвам и провоцировать их на совершение каких-либо действий, согласен гендиректор Infosecurity Кирилл Солодовников. По его словам, злоумышленник может представиться кем угодно и заманить людей в финансовую пирамиду, предложить перейти на фейковый сайт, поучаствовать в акции, розыгрыше призов и т.д.
В середине февраля в Clubhouse зарегистрировался пользователь под именем Аллы Пугачевой с фото российской певицы. Позднее концертный директор Пугачевой заявила, что артистки нет в этой соцсети. К тому моменту неизвестный, выдавая себя за Пугачеву, успел создать комнату, в которой несколько часов разговаривал с пользователями, спел песню «Позови меня с собой», а также раскритиковал Филиппа Киркорова за сотрудничество с тиктокерами.