A pochi giorni di distanza dall’annuncio di Clubhouse in merito all’adozione di nuove misure di sicurezza per garantire la protezione dei dati degli utenti e rispondere alle numerose richieste di chiarimenti sui problemi privacy dell’app (tra cui anche quelli del Garante italiano), un attaccante ha dimostrato che le chat audio caratteristiche del social network non sono sicure “trafugando” i feed audio da più stanze per poi trasmetterli in streaming su un sito Web appositamente realizzato.
Ma quello che inizialmente è stato identificato (e confermato da parte della stessa Clubhouse) come un data breach dovuto allo sfruttamento di una qualche vulnerabilità di sicurezza, si configura in realtà come una violazione di dati in seguito ad un abuso del servizio e ad una violazione dei termini d’uso dell’app.
L’accaduto, comunque, non fa che rafforzare le preoccupazioni degli esperti sulla sicurezza e sulla privacy del social network che ha basato il suo successo proprio sulle chat audio.
In un post su LinkedIn, Pierguido Iezzi, Cybersecurity Strategy Director e Co Founder di Swascan, sottolinea che quanto successo “era da aspettarselo e, per dirla tutta, tutti lo stavamo aspettando. La visibilità e popolarità dell’applicazione ha attirato l’attenzione dei criminal hacker e, allo stesso tempo, anche quello dei ricercatori cyber. Era solo questione di tempo”.
In risposta al data breach, la società ha bloccato in maniera permanente l’account utilizzato dall’attaccante e attivato immediatamente nuove misure di sicurezza per prevenire attacchi simili in futuro, ma allo stesso tempo non è stata in grado di garantire che non ciò non possa accadere di nuovo.
Indice degli argomenti
I dettagli del data breach nelle chat di Clubhouse
Uno studio condotto da Federico Maggi, Senior Threat Researcher di Tren Micro, esclude però che quanto accaduto sia configurabile come una violazione di sicurezza dell’app Clubhouse.
In particolare, è successo che uno sviluppatore ha creato un sito Web che, funzionando da mirror, ha permesso ad altri di ascoltare alcune chat vocali di Clubhouse utilizzando l’account dello sviluppatore stesso invece di uno personale.
Ciò è configurabile sicuramente come una violazione dei termini di servizio dell’app (il programmatore ha violato i termini di servizio dell’app condividendo all’esterno contenuti vocali riservati esclusivamente a chi partecipava alle discussioni vocali), ma per condividere le chat non è stata sfruttata alcuna specifica vulnerabilità dell’applicazione e, soprattutto, il sito mirror non ha effettuato alcuna registrazione.
Da qui, secondo il ricercatore Trend Micro, la difficoltà di Clubhouse nel garantire che quanto accaduto possa ripetersi in futuro: infatti, anche se questo tipo di abuso del servizio può essere reso più difficile, nessun servizio Web o social network ne è immune in quanto non c’è un modo tecnico per bloccare in modo affidabile gli abusi senza impattare la disponibilità agli utenti legittimi.
Cosa sappiamo del programmatore che ha “violato” Clubhouse
Da quello che si sa finora, lo sviluppatore indipendente di origini cinesi di cui non si conosce l’identità ha progettato un’applicazione open source che ha permesso agli utenti di smartphone Android di accedere alle chat audio sebbene l’app funzioni solo su iPhone e il servizio sia su invito.
Il programmatore ha poi reso disponibile il codice dell’app su GitHub confermando che è stata progettata per consentire a chiunque di ascoltare l’audio su Clubhouse senza un codice di invito e con accesso a varie sessioni personali.
Al momento, sia questa app sia altri tool di accesso di terze parti sono state bloccate.
I rischi a cui sono esposti gli utenti di Clubhouse
Secondo il ricercatore Federico Maggi, i rischi dei social network basati sulla condivisione di contenuti audio così come di altri servizi streaming sono di carattere generale e non specifici di Clubhouse.
In particolare, gli attaccanti potrebbero intercettare le conversazioni e scoprire chi sta parlando con chi analizzando il traffico di rete e cercando i pacchetti relativi a RTC (Real-time Transport Protocol).
Oppure, utilizzando i deepfake audio, un malintenzionato potrebbe impersonare un personaggio pubblico e clonare la sua voce con tutte le conseguenze del caso sulla sua reputazione.
O ancora, effettuare registrazioni audio non autorizzate dopo aver clonato un account target, compiere molestie e ricatti verso gli utenti che partecipano alle conversazioni vocali.
I consigli per la sicurezza
Per garantire un utilizzo sicuro dell’app Clubhouse e più in generale di tutti i social network “audio-centrici”, i ricercatori Trend Micro hanno individuato alcuni utili consigli:
- Entrare in stanze pubbliche e parlare come se ci si trovasse in pubblico. Gli utenti dovrebbero solo dire cose che si sentirebbero a proprio agio a condividere con il pubblico, poiché esiste la possibilità che qualcuno nella stanza virtuale stia registrando (anche se la registrazione senza il consenso scritto è contro i Termini di servizio della maggior parte, se non tutte, di queste app).
- Non fidarsi di qualcuno solo per nome. Queste app attualmente non hanno processi di verifica dell’account implementati; è buona regola ricontrollare sempre che la biografia, il nome utente e i contatti dei social media collegati siano autentici.
- Concedere solo le autorizzazioni necessarie e condividi i dati necessari. Per esempio, se gli utenti non desiderano che le app raccolgano tutti i dati dalla loro rubrica, possono negare l’autorizzazione richiesta.
Allo stesso tempo, è auspicabile che i social media e le app di comunicazione implementino le necessarie funzionalità di sicurezza tra cui:
- non archiviare dati segreti e in chiaro (come credenziali e chiavi API) nell’app;
- offrire chiamate private crittografate;
- prevedere sistemi di verifica dell’account utente, come ad esempio già fanno altri social network come Facebook e Twitter;
- integrare sistemi di analisi dei contenuti in tempo reale.
