Clubhouse není bezpečný. Posílá data do Číny a nejde smazat účet, varuje Kaspersky

9. 3. 2021

Podle společnosti Kaspersky má populární aplikace Clubhouse vážné bezpečnostní problémy a uživatelé by o nich měli vědět. Verze pro Android jsou falešné, data se odesílají do Číny a účet nelze jednoduše smazat.

Výzkumníci ze stanfordské univerzity zjistili, že identifikační číslo uživatele i místnosti na Clubhousu je odesíláno nešifrovaně v plaintextu. Je pak snadné se za někoho vydávat. Jednomu z uživatelů se také povedlo streamovat celý audio chat na svém webu. Porušil tím sice podmínky služby, která zakazuje i pořizování záznamu, ale dokázal, že bezpečnostní opatření jsou velice slabá. Což dokazuje i počet alternativních klientů.

Infrastrukturu Clubhousu zajišťuje čínská společnost Agora, která podle zprávy zřejmě má přístup k surovým datům chatu. Rozpoznatelné audio má být ale jen na serverech ve Spojených státech a pouze dočasně. Podle podmínek služby z důvodu případného vyšetřování (teroristické útoky atd.). Clubhouse ale neříká, jak dlouho tato dočasnost trvá. Na servery Agory mají být odesílaná pouze data v surové formě RAW. V Číně je paradoxně služba od února zakázaná.

Investoři si spletli Clubhousy

Řada dalších investorů si minulý měsíc spletli společnosti a investovali do jiné firmy s podobným názvem: ClubHouse Media Group Inc. Inc. Její akcie vzrostly o tisíc procent. Jenže sociální síť Clubhouse zatím na burze není. Stojí za ní podnikatelé Paul Davison a Rohan Seth, kteří mají zajištěné financování od investorské skupiny Andreessen Horowitz.

Akcie ClubHouse Media Group

Clubhouse je zatím pouze pro iPhony. Na aplikaci pro Android vývojáři pracují, ale stejně je Google Play plný falešných aplikací. Některé z nich skutečně fungují, vytvořit kopii Clubhousu prý není těžké a jeden petrohradský programátor to dokázal za den. Jedna fungující aplikace dokonce pochází od českých vývojářů. Ale komu potom odesíláte data?

Falešné aplikace

Falešný Clubhouse na Google Play

Clubhouse je stále pouze na pozvánky, těch je však hodně. Počet uživatelů během několika týdnů od spuštění dosáhl na deset milionů. Analytici z Kaspersky doporučují počkat na oficiální aplikaci. Není problém si rezervovat své uživatelské jméno předem z počítače.

I oficiální aplikace vyžaduje příliš velká práva a bez toho, aniž byste jí odevzdali svůj seznam kontaktů nemůžete ani nikomu poslat pozvánku. Úvodní podmínky, jež nikdo nečte a každý kliká na Agree, jsou napsané velmi benevolentně a dovolují Clubhousu předávat vaše data třetím stranám. Ze sítě nejde smazat účet, chybí jakákoliv možnost deaktivace. Kvůli smazání účtu musíte Clubhousu napsat žádost přes podporu.