Quantcast

Clubhouse dit qu'il améliorera la sécurité après que les chercheurs ont soulevé des préoccupations d'espionnage en Chine

Dimanche 14 février 2021 à 15h52
Clubhouse

Les développeurs de l'application de salon de chat audio Clubhouse prévoient d'ajouter un cryptage supplémentaire pour l'empêcher de transmettre des pings aux serveurs en Chine, après que les chercheurs de Stanford ont déclaré qu'ils ont trouvé vulnérabilités dans son infrastructure.

Dans un nouveau rapport, l'Observatoire Internet de Stanford (SIO) a déclaré qu'il a confirmé que la société basée à Shanghai Agora Inc., qui

produit un logiciel d'engagement en temps réel, « fournit une infrastructure back-end à l'application Clubhouse ». Le SIO a également découvert que les numéros d'ID Clubhouse uniques des utilisateurs, et non les noms d'utilisateur, et les ID de salle de chat sont transmis en texte brut, ce qui donnerait probablement à Agora l'accès à l'audio brut du Clubhouse. Ainsi, toute personne qui observe le trafic Internet pourrait correspondre aux identifiants des salons de chat partagés pour voir qui parle entre eux, le SIO a tweeté, notant : « Pour les utilisateurs chinois continentaux, c'est troublant ».

Les chercheurs du SIO ont déclaré avoir trouvé les métadonnées d'une salle Clubhouse « relayées vers des serveurs que nous croyons hébergés » en République populaire de Chine, et ont constaté que l'audio était envoyé à « vers des serveurs gérés par des entités chinoises et distribués dans le monde entier ». Comme Agora est une société chinoise, il serait légalement tenu d'aider le gouvernement chinois à localiser et à stocker des messages audio si les autorités de ce pays déclaraient que ces messages constituaient une menace pour la sécurité nationale, prémissent les chercheurs.

Agora a indiqué au SIO qu'il ne stockait pas l'audio ou les métadonnées de l'utilisateur que de surveiller la qualité du réseau et de facturer ses clients, et tant que l'audio est stocké sur des serveurs aux États-Unis, le gouvernement chinois ne serait pas en mesure d'accéder aux données.

Agora n'a pas répondu immédiatement à une demande de commentaires le dimanche, mais a déclaré Bloomberg dans une déclaration qu'il « n'a pas accès à partager ou stocker des données d'utilisateur final personnellement identifiables. Le trafic vocal ou vidéo provenant d'utilisateurs non basés en Chine, y compris les utilisateurs américains, n'est jamais acheminé par la Chine. » La compagnie a refusé de commenter sa relation avec Clubhouse.

Clubhouse a déclaré aux chercheurs dans une déclaration que lorsque l'application a lancé, les développeurs ont décidé de ne pas la rendre disponible en Chine « compte tenu des antécédents de la Chine en matière de vie privée ». Cependant, certains utilisateurs en Chine ont trouvé une solution de contournement pour télécharger l'application, a déclaré la société, « ce qui signifiait que, jusqu'à ce que l'application soit bloquée par la Chine plus tôt cette semaine, les conversations dont ils faisaient partie pouvaient être transmises via des serveurs chinois ».

La société a indiqué à SIO qu'elle allait déployer des changements « pour ajouter des blocs et cryptage supplémentaires pour empêcher les clients Clubhouse de transmettre des pings aux serveurs chinois » et a déclaré qu'elle engagerait une société de sécurité externe pour examiner et valider les mises à jour. Clubhouse n'a pas répondu immédiatement à une demande de commentaires dimanche.

Clubhouse est une application audio live uniquement sur invitation, uniquement iOS qui est devenue populaire parmi beaucoup de la Silicon Valley, y compris le PDG de Tesla Elon Musk, dont les débuts Clubhouse plus tôt ce mois-ci ont attiré des milliers d'auditeurs simultanés. La société a récemment été évaluée à un milliard de dollars déclaré.