Что нужно знать, прежде чем установить Clubhouse

Рассказываем, какие проблемы безопасности обнаружены в нашумевшем приложении.

Безопасно ли пользоваться Clubhouse

В последнее время в Интернете только и говорят, что о новой соцсети Clubhouse. Сервис для голосового общения, куда можно попасть только по приглашению, возглавил топ загрузок в App Store, а его аудитория за несколько недель выросла с 600 тысяч до 10 миллионов человек. Мы хотим рассказать, как за шумихой легко не заметить угрозы приватности или даже кошельку.

Что такое Clubhouse и почему о нем все говорят?

Clubhouse — это приложение, которое позволяет создавать тематические комнаты для голосовых выступлений, к которым могут подключаться участники соцсети — просто послушать или, попросив у организатора слова, высказаться самому. Одним из первых такой формат оценил Илон Маск, чей твит в конце января запустил волну интереса к сервису. За ним последовали Марк Цукерберг, Олег Тиньков и другие предприниматели и знаменитости. Такой рекламе позавидовала бы любая компания, и Clubhouse быстро стал набирать аудиторию.

К сожалению, ажиотажем вокруг сервиса уже вовсю пользуются мошенники. Да и в самом приложении, которое пока находится в стадии бета-тестирования, безопасность реализована не без огрехов.

Не тот Clubhouse

Во-первых, название Clubhouse носит не только нашумевший сервис — это уже породило несколько курьезов. Когда Илон Маск анонсировал свое появление в соцсети, инвесторы ринулись скупать акции, но перепутали ее с совершенно другой организацией с похожим названием. Самое смешное, что «правильный» Clubhouse пока даже не вышел на биржу.

Во-вторых, Clubhouse доступен только на iPhone. Однако некоторых любителей общения это не остановило, и они смело скачали из Google Play одноименный сервис для управления проектами. Обнаружив свою ошибку, разгневанные пользователи влепили приложению «единицы» и обрушили его рейтинг до такой степени, что создателям пришлось на время отозвать свое детище из магазина.

Эти истории, хоть и неприятные, не представляют прямой угрозы для участников. К сожалению, в Google Play есть и откровенные подделки под Clubhouse. Установив такое приложение, владелец смартфона или планшета рискует дать мошенникам доступ к онлайн-банку, паролям от соцсетей, списку контактов, а также попасть под бомбардировку рекламными баннерами.

В Google Play появилось невероятное количество поддельных приложений Clubhouse для Android

В Google Play появилось невероятное количество поддельных приложений Clubhouse для Android

Если вам не терпится пообщаться с друзьями в голосовой конференции на устройстве с Android, следите за официальным сайтом Clubhouse и ждите, пока там не появится новость о выходе официального приложения в Google Play.

Проблемы приватности в Clubhouse

Не все обратили внимание, но официальный релиз Clubhouse еще не состоялся. Сейчас приложение находится на стадии бета-тестирования, то есть предполагается, что им пользуется ограниченный круг лиц, чтобы проще было обнаружить и исправить ошибки. Неудивительно, что последние встречаются и в системе безопасности сервиса.

Уже несколько раз за недолгую историю сервиса эксперты напоминали, что никто не гарантирует конфиденциальность пользователей. В середине февраля исследователи из Стэнфордской интернет-обсерватории (Stanford Internet Observatory) обнаружили, что идентификаторы участников и комнат, к которым те присоединились, передаются на серверы в открытом виде. Эксперты предположили, что подрядчики, которые предоставляют Clubhouse инфраструктуру, например компания Agora, могут получать доступ и к аудиозаписям, хотя точных данных, которые подтверждали или опровергали бы это предположение, пока нет.

Спустя буквально несколько дней после публикации исследователей из Стэнфорда в Twitter появились слухи об утечке записей, которые вскоре подтвердили представители соцсети. По их словам, некий пользователь устроил стриминг из нескольких комнат Clubhouse на своем веб-сайте. В компании не дали подробных комментариев касательно инцидента, но уточнили, что речь идет о нарушении политики конфиденциальности, а не о взломе. Виновного забанили, а разработчики пообещали исправить ошибку в сервисе, которой он воспользовался, однако сколько еще лазеек остается в ПО, которое они сами признают нефинальным, сказать трудно.

Наконец, исследователи отмечают, что для технически подкованного специалиста не составит большого труда разобраться в коде Clubhouse. Это доказал на практике разработчик из Петербурга, который за день создал неофициальный клиент сервиса для Android. Для пользователей это очередной повод задуматься о том, какие уязвимости могут найти в коде заинтересовавшиеся им преступники.

Даже взламывать не надо

После регистрации приложение попросит предоставить доступ к вашему списку контактов. Делать это не обязательно, но если вы захотите пригласить кого-то в соцсеть, то номерами из телефонной книги все-таки придется поделиться. При этом в политике конфиденциальности разработчики оставляют за собой право передавать такие данные весьма широкому кругу третьих лиц, от любых подрядчиков до маркетинговых агентств и органов правопорядка.

Кроме того, по задумке создателей Clubhouse, в приложении нет режима инкогнито, и каждое ваше действие в соцсети оставляет след. Более того, в интерфейсе приложения даже нет кнопки «Удалить аккаунт» — чтобы запустить процедуру, придется отправить письменный запрос в службу поддержки.

В Clubhouse также нет полноценной верификации аккаунтов, так что при желании любой может выдавать себя за известную личность. Российских пользователей уже одурачила лже-Алла Пугачева, а англоговорящая публика попалась на удочку поддельного Брэда Питта.

Эти случаи можно воспринимать как безобидные розыгрыши, но проблема может стать более серьезной: мошенники уже давно используют как настоящие, так и поддельные аккаунты знаменитостей в своих целях — достаточно вспомнить опыт развода на биткойны в Twitter или «розыгрыши от звезд» в Instagram. Вывод: не верьте всему, что слышите в комнатах Clubhouse. Если хорошо знакомый голос предлагает поучаствовать в каком-то жутко привлекательном проекте, проверьте информацию в других источниках.

Советы и рекомендации

  • Clubhouse нет на Android на момент публикации — не доверяйте подделкам мошенников.
  • Не поддавайтесь ажиотажу — прежде чем ставить новомодное приложение, подумайте, точно ли оно вам нужно.
  • Если вы все же решили присоединиться к Clubhouse, не полагайтесь на якобы закрытый статус социальной сети. Делитесь только той информацией, которую вы готовы опубликовать в общем доступе.
  • Проверяйте приложение перед установкой — уточните, чем известны его авторы, какие данные вы предоставляете разработчикам и с кем те могут ими делиться.
  • Постоянно будьте начеку: рано или поздно мошенники придумают очередные схемы для обмана пользователей, о которых мы обязательно напишем. Постарайтесь не стать одним из пострадавших в такой истории.
  • Позаботьтесь о защите — поставьте на смартфон надежное защитное решение, которое не пропустит на ваше устройство зловред, замаскировавшийся под Clubhouse для Android.
Советы

BloodyStealer: охота на геймеров

Аккаунты геймеров пользуются спросом на черном рынке, и BloodyStealer, крадущий данные аккаунтов в популярных игровых магазинах, — яркий тому пример.