¿Qué tan segura es la red social Clubhouse?

Redacción MX Político.- Fundada por los empresarios de Silicon Valley, Paul Davison y Rohan Seth, en marzo de 2020, Clubhouse ahora tiene más de dos millones de usuarios y está valorada en alrededor de mil millones de dólares. Sin embargo, la red social tiene diversos problemas de seguridad, uno de los más grandes es el hecho de que cualquiera puede potencialmente grabar una sala y transmitir el contenido a otra parte.

A principios de febrero, el Stanford Internet Observatory (SIO) descubrió que un usuario estaba transmitiendo audio y metadatos desde varias salas a otro sitio web. Confirmando el “escape” de datos a Bloomberg, Clubhouse dijo que esto violaba sus términos de servicio. Bannearon al usuario de la plataforma y, sin proporcionar detalles específicos, dijeron que había agregado medidas de seguridad para evitar que volviera a suceder.

Pero fue solo la punta del iceberg. Una semana después, SIO detalló varios problemas de seguridad y privacidad, incluido el hecho de que el número de identificación único de Clubhouse y la identificación de la sala de chat de los usuarios se transmiten en texto simple.

Otra preocupación importante, según el SIO, es la empresa con sede en China que proporciona la infraestructura de back-end de Clubhouse, Agora, que potencialmente podría permitir el acceso del gobierno al audio sin procesar en la plataforma.

Jane Manchun Wong, investigadora de seguridad conocida por descubrir nuevas funciones de software a través de la ingeniería inversa, dice que “una falla” en el diseño de backend de Clubhouse permite a los usuarios transmitir datos de audio de forma programática desde la API de Agora sin tener que usar necesariamente la aplicación Clubhouse.

En el momento de su investigación sobre la aplicación, era posible escuchar varias habitaciones simultáneamente. Además, en una sala de la casa club, a cada altavoz se le asigna su propia pista de audio; Agora no mezcla el audio de los altavoces en uno. Esto podría facilitar la recopilación de datos innecesarios.

“Las pistas de audio de cada altavoz se transmiten al teléfono del usuario a través de Agora y se reproducen simultáneamente”, dice Wong. “Cada una de las pistas de audio contiene metadatos, incluido el ID de usuario correspondiente: esto facilita la recopilación y el procesamiento de los datos de voz de cada individuo”.