Perlombaan untuk merekayasa balik Clubhouse menimbulkan masalah keamanan – TechCrunch

0
49


Saat aplikasi obrolan audio langsung Clubhouse semakin populer di seluruh dunia, kekhawatiran tentang praktik datanya juga meningkat.

Aplikasi saat ini hanya tersedia di iOS, jadi beberapa pengembang berlomba untuk membuat versi Android, Windows dan Mac dari layanan tersebut. Meskipun upaya ini mungkin tidak bermaksud buruk, fakta bahwa programmer membutuhkan sedikit upaya untuk merekayasa balik dan bercabang-cabang Clubhouse – yaitu, ketika pengembang membuat perangkat lunak baru berdasarkan kode aslinya – membunyikan alarm tentang keamanan aplikasi.

Tujuan umum dari aplikasi tidak resmi ini, seperti yang sekarang, adalah untuk menyiarkan umpan audio Clubhouse secara real-time kepada pengguna yang tidak dapat mengakses aplikasi karena mereka tidak memiliki iPhone. Salah satu upaya tersebut disebut Buka Clubhouse, yang mendeskripsikan dirinya sebagai “aplikasi web pihak ketiga berdasarkan flask untuk memutar audio Clubhouse.” Pengembang mengonfirmasi kepada TechCrunch bahwa Clubhouse memblokir layanannya lima hari setelah peluncurannya tanpa memberikan penjelasan.

“[Clubhouse] meminta banyak informasi dari pengguna, menganalisis data tersebut, dan bahkan menyalahgunakannya. Sementara itu, itu membatasi cara orang menggunakan aplikasi dan gagal memberi mereka hak yang pantas mereka dapatkan. Bagi saya, ini adalah monopoli atau eksploitasi, ”ujar pengembang Open Clubhouse berjuluk AiX ini.

Clubhouse tidak dapat segera dihubungi untuk mengomentari cerita ini.

AiX menulis program “untuk bersenang-senang” dan ingin memperluas akses Clubhouse ke lebih banyak orang. Upaya serupa lainnya datang dari seorang pengembang bernama Zhuowei Zhang, yang menciptakan Rumah Hipster untuk membiarkan mereka yang tidak diundang menjelajahi ruang dan pengguna, dan mereka yang memiliki undangan untuk bergabung ke ruang sebagai pendengar meskipun mereka tidak dapat berbicara – Clubhouse saat ini hanya untuk undangan. Zhang berhenti berkembang proyek, bagaimanapun, setelah melihat alternatif yang lebih baik.

Layanan pihak ketiga ini, terlepas dari niatnya yang tidak berbahaya, dapat dimanfaatkan untuk tujuan pengawasan, seperti Jane Manchun Wong, seorang peneliti yang dikenal karena mengungkap fitur yang akan datang di aplikasi populer melalui rekayasa balik, dicatat dalam sebuah tweet.

“Bahkan jika maksud dari halaman web itu adalah untuk membawa Clubhouse ke pengguna non-iOS, tanpa pengamanan, itu bisa disalahgunakan,” kata Wong, mengacu pada situs web yang merutekan ulang data audio dari ruang publik Clubhouse.

Clubhouse memungkinkan orang membuat ruang obrolan publik, yang tersedia untuk setiap pengguna yang bergabung sebelum ruang mencapai kapasitas maksimumnya, dan ruang pribadi, yang hanya dapat diakses oleh tuan rumah ruang dan pengguna yang diberi wewenang oleh tuan rumah.

Tetapi tidak semua pengguna menyadari sifat terbuka ruang publik Clubhouse. Selama jendela ketersediaan yang singkat di China, aplikasi tersebut dibanjiri dengan perdebatan China daratan tentang masalah-masalah sensitif politik dari Taiwan hingga Xinjiang, yang sangat disensor di dunia maya China. Beberapa pengguna China yang waspada berspekulasi kemungkinan diinterogasi oleh polisi karena memberikan komentar sensitif. Meskipun tidak ada peristiwa seperti itu yang dilaporkan secara publik, pihak berwenang Tiongkok telah melakukannya dilarang aplikasi sejak 8 Februari.

Desain Clubhouse pada dasarnya bertentangan dengan keadaan komunikasi yang ingin dicapai. Aplikasi ini mendorong orang untuk menggunakan identitas asli mereka – pendaftaran membutuhkan nomor telepon dan undangan pengguna yang sudah ada. Di dalam sebuah ruangan, semua orang bisa melihat siapa lagi yang ada di sana. Penyiapan ini menanamkan kepercayaan dan kenyamanan pada pengguna saat mereka berbicara seolah-olah berbicara di acara jaringan.

Tetapi aplikasi pihak ketiga yang dapat mengekstrak umpan audio Clubhouse menunjukkan bahwa aplikasi tersebut bahkan tidak bersifat semi-publik: Ini untuk publik.

Yang lebih merepotkan adalah pengguna dapat “mendengarkan hantu”, sebagai pengembang Zerforschung ditemukan. Artinya, pengguna dapat mendengar percakapan ruang tanpa menampilkan profil mereka kepada peserta ruang. Penyadapan dimungkinkan dengan menjalin komunikasi langsung dengan Agora, penyedia layanan yang dipekerjakan oleh Clubhouse. Seperti yang ditemukan oleh beberapa peneliti keamanan, Clubhouse mengandalkan teknologi komunikasi audio real-time Agora. Sumber juga dikonfirmasi kemitraan dengan TechCrunch.

Beberapa penjelasan teknis diperlukan di sini. Ketika seorang pengguna bergabung dengan ruang obrolan di Clubhouse, itu membuat permintaan ke infrastruktur Agora, sebagai Stanford Internet Observatory ditemukan. Untuk membuat permintaan, ponsel pengguna menghubungi antarmuka pemrograman aplikasi (API) Clubhouse, yang kemudian membuat “token”, blok bangunan dasar dalam pemrograman yang mengautentikasi suatu tindakan, untuk membuat jalur komunikasi untuk lalu lintas audio aplikasi.

Sekarang, masalahnya adalah mungkin ada keterputusan antara Clubhouse dan Agora, yang memungkinkan ujung Clubhouse, yang mengelola profil pengguna, menjadi tidak aktif sementara ujung Agora, yang mentransmisikan data audio, tetap aktif, sebagai analis teknologi Daniel Sinclair dicatat. Itulah mengapa pengguna dapat terus menguping ruangan tanpa menampilkan profil mereka kepada peserta ruangan.

Kemitraan Agora telah memicu kekhawatiran lain. Perusahaan, yang beroperasi terutama dari AS dan China, tercatat dalam IPO-nya prospektus bahwa datanya mungkin tunduk pada undang-undang keamanan siber China, yang mewajibkan operator jaringan di China untuk membantu penyelidikan polisi. Kemungkinan itu, seperti yang ditunjukkan oleh Stanford Internet Observatory, bergantung pada apakah Clubhouse menyimpan datanya di China.

Sementara API Clubhouse dilarang di Cina, API Agora tampaknya tidak diblokir. Pengujian oleh TechCrunch menemukan bahwa pengguna saat ini membutuhkan VPN untuk bergabung dengan sebuah ruangan, sebuah tindakan yang dikelola oleh Clubhouse, tetapi dapat mendengarkan percakapan ruangan tersebut, yang difasilitasi oleh Agora, dengan VPN mati. Apa cara teraman bagi pengguna yang tinggal di China untuk mengakses aplikasi, mengingat sikap resminya adalah bahwa itu tidak boleh ada? Perlu juga dicatat bahwa aplikasi tersebut tidak tersedia di App Store Cina bahkan sebelum pelarangannya, dan pengguna China telah mengunduh aplikasi melalui solusi.

Tim Clubhouse mungkin kewalahan oleh pertanyaan data dalam beberapa hari terakhir, tetapi pengamatan awal dari para peneliti dan peretas ini mungkin mendesaknya untuk memperbaiki kerentanannya lebih cepat, membuka jalan untuk berkembang melampaui itu. beberapa juta pengguna setia dan Nilai penilaian $ 1 miliar.





Sumber

LEAVE A REPLY

Please enter your comment!
Please enter your name here