Co musisz wiedzieć, zanim zainstalujesz Clubhouse

Popularną aplikację cechuje kilka problemów z bezpieczeństwem.

Od chwili pojawienia się na rynku aplikacja Clubhouse służąca do rozmów tylko poprzez zaproszenie zyskała ogromną popularność w sklepie App Store, a w ciągu zaledwie kilku tygodni liczba jej użytkowników wzrosła z 600 tysięcy do 10 milionów. O aplikacji tej mówią wszyscy, zarówno w kontekście pozytywnym, jak i negatywnym. W całym tym zamieszaniu łatwo jest przeoczyć zagrożenia dla prywatności, a nawet portfela.

Co to jest Clubhouse

Clubhouse to aplikacja, która służy do korespondencji głosowej. Użytkownicy mogą przysłuchiwać się lub dołączyć do rozmowy (za pozwoleniem ze strony organizatora). Jednym z najbardziej znanych fanów aplikacji Clubhouse jest Elon Musk: jego tweet opublikowany pod koniec stycznia wywołał ogromne zainteresowanie tą usługą. Następnie w jego ślady poszli Mark Zuckerberg, Drake i inni celebryci. Takie wzmianki są jak żyła złota, nic więc dziwnego, że liczba użytkowników Clubhouse szybko wzrosła.

Jednak aplikacja ta nadal jest w fazie beta, a w dodatku zawsze czujni oszuści starają się zarobić na nowym medium społecznościowym, którego bezpieczeństwo ma swoje luki.

Inna aplikacja Clubhouse

Wokół Clubhouse zrobiło się sporo zamieszania. Gdy Elon Musk poinformował, że korzysta z tej sieci społecznościowej, inwestorzy zaczęli pośpiesznie wykupywać jej akcje. Niestety pomylili ją z podobnie brzmiącą, ale jednak całkiem inną organizacją. „Właściwy” Clubhouse nawet jeszcze nie został udostępniony publicznie.

Ponadto aplikacja Clubhouse jest aktualnie dostępna tylko dla iPhone’ów, lecz fakt ten nie powstrzymał miłośników czatów przed pobraniem aplikacji do zarządzania projektami opublikowanej w sklepie Google Play pod tą samą nazwą. Po odkryciu pomyłki poirytowani użytkownicy zbombardowali aplikację komentarzami, zmuszając jej twórców do czasowego wycofania jej ze sklepu.

Problemy te nie są wielkie i nie stwarzają bezpośredniego zagrożenia dla użytkowników Clubhouse. Jednak w sklepie Google Play znajduje się również wiele aplikacji, które się pod nią podszywają. Użytkownicy smartfonów i tabletów, którzy zainstalują taką fałszywą aplikację, ryzykują udostępnieniem cyberprzestępcom swoich haseł do bankowości internetowej i mediów społecznościowych, jak również listy kontaktów. Ponadto narażają się na wyświetlanie ogromnej liczby banerów reklamowych.

W sklepie Google Play pojawiło się wiele fałszywych aplikacji Clubhouse dla systemu Android

Użytkownicy platformy Android, którzy chcieliby móc dołączać do rozmów poprzez platformę Clubhouse, muszą zaglądać na jej stronę internetową i czekać na udostępnienie oficjalnej aplikacji w sklepie Google Play.

Clubhouse — problemy z prywatnością

Ponieważ aplikacja Clubhouse jest jeszcze w wersji beta, z założenia jest ona przydatna dla niewielu osób, a celem jej udostępnienia jest możliwość wykrycia błędów i ułatwienie ich eliminowania. Nic więc dziwnego, że w systemie bezpieczeństwa tej aplikacji wykryto jakieś błędy.

Mimo że historia opisywanego przez nas programu jest jeszcze krótka, eksperci wiele razy musieli już przypominać, że nie gwarantuje on użytkownikom prywatności. W połowie lutego badacze z organizacji Stanford Internet Observatory (SIO) odkryli, że identyfikatory użytkowników i pokojów rozmów są przesyłane na serwery w postaci otwartego tekstu. SIO zasugerowało, że Agora, czyli chiński dostawca infrastruktury back-end dla aplikacji Clubhouse, prawdopodobnie ma dostęp do niezmodyfikowanych nagrań użytkowników, chociaż nikt nie potwierdził ani nie zaprzeczył tej tezie.

Kilka dni później w serwisie Twitter pojawiły się plotki o wycieknięciu rekordów, które wkrótce potwierdził dostawca aplikacji Clubhouse. Jak poinformowano, jeden z użytkowników strumieniował treści z aplikacji na własnej stronie internetowej. Firma nie skomentowała szczegółowo incydentu, ale wyjaśniła, że użytkownik naruszył politykę prywatności, a zatem nie doszło do włamania. Sprawca został zablokowany, programiści obiecali wyeliminować błąd, ale ile jeszcze luk pozostaje w tym programie — który jeszcze nie jest skończony — trudno powiedzieć.

Organizacja SIO zauważyła również, że osoba zorientowana w kwestiach technicznych mogłaby bez trudu rozpracować kod aplikacji. Udowodnił to programista z St. Petersburga, który w ciągu jednego dnia utworzył nieoficjalnego klienta Clubhouse dla Androida. To kolejny powód, dla którego użytkownicy tej aplikacji powinni zastanowić się, jakiego kalibru luki mogą znajdować się w jej kodzie.

Nie trzeba włamania

Po rejestracji aplikacja wymaga udzielenia jej dostępu do listy kontaktów. W przypadku odmowy nie można zaprosić innej osoby do korzystania z tej sieci społecznościowej. Z tego względu, aby móc w pełni korzystać z Clubhouse, należy zgodzić się na dostęp do kontaktów. Należy tu wspomnieć, że zgodnie z polityką prywatności twórcy tej aplikacji mogą przesyłać takie dane do wielu firm trzecich, od wykonawców po agencje marketingowe i organy ścigania.

Ponadto aplikacja nie zapewnia trybu incognito, więc każde Twoje działanie w aplikacji zostawia ślad. W interfejsie aplikacji nie ma przycisku „Usuń konto”. Aby rozpocząć procedurę usuwania konta, należy wysłać pisemne żądanie.

Ponadto Clubhouse nie stosuje weryfikacji konta, więc zasadniczo każdy może się pod kogoś podszyć. Użytkownicy dali się już nabrać m.in. na fałszywego Brada Pitta. Chociaż przypadki podszywania się pod kogoś mogą wydawać się nieszkodliwym żartem, problem ten stwarza duże zagrożenie: oszuści od dawna używają zarówno prawdziwych, jak i fałszywych kont celebrytów do własnych celów — opisywaliśmy już wiele oszustw, w których oferowano bitcoiny w serwisie Twitter.

Nie wolno wierzyć we wszystko, co się słyszy, a pokoje rozmów w Clubhouse nie są tu wyjątkiem. Jeśli dobrze znany Ci głos zachwala ciekawy projekt, sprawdź informacje u źródeł, którym ufasz.

Porady i zalecenia

  • Na chwilę tworzenia tego posta Clubhouse nie jest dostępny dla systemu Android, więc nie pobieraj aplikacji ze sklepu Google Play.
  • Nie ufaj aplikacji Clubhouse w kwestii zachowania prywatności Twoich rozmów i działań. Udostępniaj tylko te informacje, które udostępniłbyś w domenie publicznej.
  • Zanim zainstalujesz jakąś nową aplikację, zastanów się, czy naprawdę jej potrzebujesz — a jeśli tak, to czy możesz poczekać na wyeliminowanie błędów w wersji beta lub 1.0.
  • Zanim zainstalujesz aplikację, poszukaj o niej informacji — dowiedz się, kto jest jej dostawcą, jakich danych chce, a także komu mogą one być udostępniane.
  • Zachowaj czujność — oszuści nieustannie wymyślają nowe schematy nabierania użytkowników. Z pewnością będziemy je opisywać, więc warto nas śledzić, a w międzyczasie staraj się nie paść ofiarą kolejnej historii.
  • Zainstaluj na swoich urządzeniach rzetelne rozwiązanie ochronne, które zablokuje szkodliwe programy, w tym aplikacje podszywające się pod Clubhouse dla systemu Android.
Porady