Clubhouse je hitem, ale zabezpečení aplikace pokulhává

Clubhouse svou exkluzivitou vyvolal rozruch. Ale odpovídá mediálnímu poprasku i zabezpečení aplikace a platformy?
Clubhouse je fenoménem poslední doby. Láká známé osobnosti, influencery i běžné uživatele, kteří chtějí diskutovat o nejrůznějších tématech. Aplikace Clubhouse je sice stále ještě v betaverzi, přesto se jí podařilo vytvořit celosvětový hype a překonat hranici 10 milionů aktivních uživatelů a hodnotu 1 miliardy dolarů, což ji řadí po bok známých aplikací, jako jsou Uber nebo AirBnb. Stejně jako u každé nové populární aplikace i u Clubhouse existuje řada důležitých otázek ohledně bezpečnosti a soukromí.
Clubhouse je audio sociální síť, ve které může konverzace poslouchat virtuální publikum. Mohli bychom také říci, že se v podstatě jedná o sbírku exkluzivních živých podcastů nebo rozhlasových pořadů s různými tématy, jako je obchod, kultura, politika atd. Clubhouse uvádí, že konverzace po ukončení zmizí a nelze je nahrávat. V současné době je aplikace pouze pro iOS a lidé se mohou připojit, pouze když obdrží pozvánku od stávajícího člena.
Aplikace ovšem vyvolává znepokojení v souvislosti s ochranou soukromí. Po obdržení pozvánky aplikace získá přístup ke všem kontaktům v zařízení a nabízí pomoc s vyhledáním dalších uživatelů Clubhouse. Snaží se také uživatele přimět k propojení aplikace s twitterovými a instagramovými účty pro lepší vyhledávání kontaktů.
„Na tom by nebylo nic úplně překvapivého, protože podobný postup volí běžné i další populární aplikace. Není ale zřejmé, jaká data aplikace Clubhouse přesně extrahuje nebo sdílí s jinými sociálními sítěmi. Řada uživatelů dokonce uvedla, že jejich kontaktní údaje byly sdíleny s ostatními uživateli Clubhouse bez jejich svolení. V této souvislosti je tedy dobré si připomenout známý výrok: Pokud za produkt neplatíte, pak jste sami produktem,“ říká Petr Kadrmas, Security Engineering Eastern Europe v kyberbezpečnostní společnosti Check Point.
Kdopak to poslouchá?
Nejasná je nejen práce s kontakty uživatelů, ale také další aspekty bezpečnosti a soukromí. Stanford Internet Observatory (SIO) upozorňuje, že dodavatelem back-end infrastruktury pro aplikaci Clubhouse je šanghajská společnost Agora a unikátní uživatelská ID a ID chatovacích místností jsou překvapivě posílány z aplikace do infrastruktury v prostém textu, takže k informacím může mít potenciálně přístup čínská vláda. Zároveň není vyloučeno, že má čínská vláda přístup k veškerému audio obsahu. SIO dodává, že metadata z Clubhouse diskuzí jsou přenášena na servery pravděpodobně hostované v Číně. Clubhouse uvádí, že byly podniknuty takové kroky, aby ke zneužití nemohlo dojít.
V únoru 2021 navíc Bloomberg uvedl, že neidentifikovaný uživatel streamoval zvuk z několika chatovacích místností Clubhouse na vlastních webových stránkách. Clubhouse sice tvrdí, že obsah diskuzí zmizí po jejich ukončení, ale to samozřejmě neplatí pro zvuk extrahovaný z aplikace a hostovaný jinde. Uživatel streamující diskuze byl aplikací zablokován a Clubhouse nainstaloval nová bezpečnostní opatření, aby se situace neopakovala.
„Ale neexistuje žádná záruka, že zvuk nebude možné z aplikace extrahovat jinými metodami a v budoucnu zveřejnit. Podobně jako je to například u zpráv v soukromé skupině na WhatsAppu: Pokud někdo z dané skupiny vynese zprávy nebo obsah na jinou platformu, pak už sotva můžeme mluvit o záruce nějakého soukromí,“ dodává Petr Kadrmas.
Podvodné aplikace a další hrozby
Vzhledem k jisté exkluzivitě Clubhouse aplikace hledá řada uživatelů jiné cesty, jak se do klubu dostat, což otevírá příležitosti pro podvodníky. Objevily se například zprávy, že lidé prodávají pozvánky do Clubhouse. Někteří prodejci mohou být legitimní, ale kupující pozná, zda je pozvánka pravá, až když zaplatí. Výzkumný tým kyberbezpečnostní společnosti Check Point upozorňuje také na nejrůznější falešné verze aplikace Clubhouse, jejichž cílem je získávat osobní data a přihlašovací údaje obětí. Jedna taková podvodná aplikace byla nalezena dokonce v oficiálním obchodu Google Play, což ukazuje, že podvodníci dokázali obelstít i bezpečnostní mechanismy společnosti Google.

Clubhouse vzbudil zájem uživatelů po celém světě, prudký nárůst předčil i očekávání autorů. Aplikace je ještě v betaverzi, což zvětšilo problémy s ochranou soukromí a zabezpečením, protože podobné věci by pravděpodobně byly vyřešeny ještě před spuštěním plné verze, aniž by se o nich veřejnost dozvěděla. Přesto uživatelé musí tyto potenciální bezpečnostní slabiny zvážit.
A jak se chránit před kyberhrozbami, podvody a potenciálními škodlivými aplikacemi?

1. Aktualizujte svůj operační systém. Mobilní zařízení by měla vždy používat nejnovější verzi operačního systému, aby nemohlo dojít ke zneužití známých zranitelností.
2. Instalujte pouze aplikace z oficiálních obchodů s aplikacemi. Snižuje to pravděpodobnost neúmyslné instalace mobilního malwaru nebo škodlivé aplikace. Nezapomeňte, že Clubhouse je aktuálně k dispozici pouze v Apple App Store.
3. Pečlivě zkontrolujte oprávnění aplikace a jaký má přístup k vašim kontaktům a datům: Nikdy bezhlavě neklikejte na „Přijmout vše“.
4. Buďte obezřetní, když vám přijde nějaké doporučení nebo pozvání do aplikace, i když je to třeba od někoho, koho znáte.
5. Používejte mobilní zabezpečení. Doporučujeme nasadit pokročilé mobilní bezpečnostní řešení s integrovaným antivirem a detekcí hrozeb. Harmony Mobile je špičkové řešení, které chrání před nejrůznějšími mobilními útoky, včetně škodlivých aplikací.

Foto: Pixabay
Zdroj: Check Point Software Technologies