Los desarrolladores de la aplicación de sala de chat de audio Clubhouse planean agregar cifrado adicional para evitar que transmita pings a los servidores en China, después de que los investigadores de Stanford dijeron que encontraron vulnerabilidades en su infraestructura.
En un nuevo informe, el Stanford Internet Observatory (SIO) dijo que confirmó que la empresa Agora Inc., con sede en Shanghái, que fabrica software de interacción en tiempo real, "proporciona infraestructura de back-end a la aplicación Clubhouse". El SIO descubrió además que los números de identificación de la casa club únicos de los usuarios (no los nombres de usuario) y las identificaciones de las salas de chat se transmiten en texto plano, lo que probablemente le daría a Agora acceso al audio sin procesar de la casa club. Por lo tanto, cualquiera que observe el tráfico de Internet podría hacer coincidir los ID en las salas de chat compartidas para ver quién está hablando entre sí, tuiteó el SIO , y señaló que "para los usuarios de China continental, esto es preocupante".
Los investigadores de SIO dijeron que encontraron metadatos de una sala Clubhouse "que se transmitían a servidores que creemos que están alojados en" la República Popular China, y encontraron que el audio se enviaba "a servidores administrados por entidades chinas y distribuidos en todo el mundo. " Dado que Agora es una empresa china, estaría legalmente obligada a ayudar al gobierno chino a localizar y almacenar mensajes de audio si las autoridades de ese país dijera que los mensajes representan una amenaza para la seguridad nacional, supusieron los investigadores.
Agora le dijo al SIO que no almacena audio o metadatos del usuario más que para monitorear la calidad de la red y facturar a sus clientes, y mientras el audio esté almacenado en servidores en los EE. UU., El gobierno chino no podrá acceder a los datos.
Agora no respondió de inmediato a una solicitud de comentarios el domingo, pero le dijo a Bloomberg en un comunicado que “no tiene acceso para compartir o almacenar datos de identificación personal del usuario final. El tráfico de voz o video de usuarios que no residen en China, incluidos los usuarios de EE. UU., Nunca se enruta a través de China ". La compañía se negó a comentar sobre su relación con Clubhouse.
Clubhouse dijo a los investigadores en un comunicado que cuando se lanzó la aplicación, los desarrolladores decidieron no hacerla disponible en China "dado el historial de China en materia de privacidad". Sin embargo, algunos usuarios en China encontraron una solución para descargar la aplicación, dijo la compañía, "lo que significaba que, hasta que la aplicación fuera bloqueada por China a principios de esta semana, las conversaciones de las que formaban parte podrían transmitirse a través de servidores chinos".
La compañía le dijo a SIO que iba a implementar cambios “para agregar encriptación y bloqueos adicionales para evitar que los clientes de Clubhouse transmitan pings a los servidores chinos” y dijo que contrataría una firma de seguridad externa para revisar y validar las actualizaciones. Clubhouse no respondió de inmediato a una solicitud de comentarios el domingo.
Clubhouse es una aplicación de audio en vivo solo para iOS y solo por invitación que se ha vuelto popular entre muchos en Silicon Valley, incluido el CEO de Tesla, Elon Musk, cuyo debut en Clubhouse a principios de este mes atrajo a miles de oyentes simultáneos. La compañía fue valorada recientemente en mil millones de dólares .