Приложение становится всё популярнее, но к его приватности всё больше вопросов.
В январе 2021 года Clubhouse начал набирать популярность в США и Европе, а потом и в России: по всему мире в нём зарегистрированы уже миллионы пользователей, в РФ — более ста тысяч. TJ рассказывает, какие данные собирает Clubhouse, куда они могут уходить и что опасного вокруг приватности в соцсети.
Разговоры в комнатах записывают. Официальное объяснение — для модерации
Многие ошибочно уверены, что общение в клабхаусе устроено по тому же принципу, что и общение вживую. В соцсети даже есть формальный запрет на запись разговоров. Согласно правилам, если сделать это без письменного разрешения всех участников беседы, то сервис может заблокировать аккаунт.
Но сервис может записывать разговоры в комнатах и хранить их какое-то время — об этом говорится в политике приватности. Создатели приложения утверждают, что эти данные нужны для безопасности, например, на случай террористических угроз, проявлений языка вражды или публикации персональных данных без согласия. Если жалоба не поступает, то сохранённая аудиозапись удаляется, заявляет сервис.
Как работает запись разговоров в клабхаусе и насколько долго хранятся данные, пока неизвестно. В условиях конфиденциальности есть слово «временно» — это может означать и несколько минут, и несколько лет. Немецкие и итальянские регуляторы уже потребовали публичных объяснений о том, как политики передачи данных сервиса сочетаются с европейскими законами о приватности.
Пока Clubhouse не замечен в спорных случаях сотрудничества с теми или иными властями. Но всё может измениться: в том числе поэтому лучше не обсуждать конфиденциальную информацию публично.
Clubhouse сканирует список контактов. Официальное объяснение — для раздачи приглашений
Одна из ключевых особенностей Clubhouse заключается в механике инвайтов и фокусе на социальном капитале. Пользователи соцсети могут видеть в том числе те комнаты, в которых участвуют или говорят те, на кого они подписаны — удобного поиска пока нет.
При установке приложение запрашивает разрешение на доступ к списку контактов, а потом предлагает пригласить всех из адресной книги — от коллег по работе до давних знакомых.
Авторы приложения объясняют необходимость сканирования контактов выдачей инвайтов. При этом для приглашения пользователей формально нужна не вся адресная книга, а лишь конкретный номер. Но если не дать соцсети доступ к телефонной книге, то она не позволит раздавать инвайты.
У многих в контактах есть не только друзья из реальной жизни, но ещё и коллеги, начальники, личные врачи или, к примеру, те, с кем они однажды сходили на свидание. У журналистов в телефонной книге есть ещё и источники информации, которым, вероятно, они гарантировали анонимность.
Когда пользователь клабхауса открывает доступ к номерам, он сообщает разработчикам: он каким-то образом связан с конкретными людьми, и они связаны с ним. Легко представить, как какому-нибудь пользователю приложение порекомендует тех, кого он в текущий момент реальной жизни предпочитает избегать.
Справедливости ради, соцсеть не показывает, кто эти «общие друзья». Но логично предположить, что сервис хранит эту информацию.
Механика «приветствия» также небезопасна — она вытекает из доступа к телефонной книге. При регистрации нового пользователя Clubhouse присылает пуши его контактам и предлагает создать приватную комнату для приветствия.
Сам «новичок» может даже не заходить в «закрытый» чат. Но если на пуш-уведомление случайно нажмут другие пользователи, то они рискуют оказаться в неловкой ситуации: участники комнаты вполне могут не знать друг друга и не иметь желания знакомиться.
Clubhouse использует китайские наработки и передаёт ID пользователей в открытом виде
Пожалуй, больше всего вопросов к Clubhouse возникло, когда выяснилось, что авторы использовали наработки китайской компании Agora для передачи аудио в реальном времени. Исследователи из Стэнфордской интернет-обсерватории (SIO) обнаружили этот факт, впрочем, его даже не скрывали.
Специалисты проанализировали веб-трафик клабхауса публично доступными утилитами вроде Wireshark. Оказалось, что данные уходят напрямую на сервера, принадлежащие Agora: например, qos-america.agoralab.co. При присоединении к каналу приложение генерирует пакет метаданных, которые передаёт специально для бэкенд-инфраструктуры китайской компании.
В этой информации содержатся данные о каждом пользователе, включая уникальный ID профиля и комнаты, к которой он присоединился. Эти данные Clubhouse передаёт в открытом виде без шифрования: любой желающий фактически может отследить перемещение конкретного пользователя, «захватив» сеть, к которой тот подключен.
Agora — основанный в Шанхае стартап со штаб-квартирой в Кремниевой долине. Он продаёт другим компаниям доступ к платформе для обработки голоса и видео в реальном времени. Благодаря этому стартапам вроде Clubhouse не нужно создавать основу с нуля: команда может направить силы на другие задачи. Конечный пользователь зачастую может не знать, что приложение работает на платформе Agora, поскольку об этом не говорится в пользовательских соглашениях.
Так как Clubhouse при обработке аудио в реальном времени полагается на технологии Agora, исследователи предполагают, что китайская компания может получать доступ к несжатому аудиопотоку. Ведь в том числе через её сервера проходят все разговоры.
Главная опасность использования наработок Agora, по мнению экспертов из Стэнфорда, состоит в том, что компания обязалась подчиняться китайским законам. Если китайское правительство посчитает какой-то разговор опасным для национальной безопасности, компания позволит властям изучить запись.
В Agora уже заявили, что не хранят пользовательских данных, если не считать тех, что нужны для отслеживания сетевой активности. Компания утверждает, что она лишь «проводник», а её клиенты обычно шифруют данные.
В этом случае китайское правительство не сможет законным путём получить доступ к клабхаусу. Однако теоретически власти могут «вторгнуться» в сеть и сами записывать нужные разговоры, считают в SIO. Такой расклад, вероятнее всего, затронет китайских пользователей клабхауса, которые, несмотря на блокировку в стране, пользуются приложением.
Итог: безопасен ли Clubhouse
Учитывая, что клабхаус в ключевом аспекте работы полагается на платформу сторонней компании, передаёт данные в открытом виде без шифрования и записывает разговоры, соцсеть нельзя считать безопасной. Многое зависит от того, где хранятся аудиозаписи: если они находятся в США, то китайское или любое другое правительство не сможет получить доступ. Но это не снимает риски в отношении американских пользователей.
Представители Clubhouse в ответ на расследование SIO заявили, что отправляют на китайские сервера лишь небольшой процент данных о пользователях — чтобы обеспечить наименьшую задержку при разговорах. Авторы приложения пообещали прислушаться к рекомендациям специалистов и добавить «дополнительное шифрование». В сервисе пообещали больше не использовать китайские сервера и привлечь стороннюю фирму для оценки безопасности кода.
В публикации SIO говорится, что информация об Agora и передача данных в открытом виде — это не единственные проблемы с безопасностью клабхауса. О других слабых местах исследователи решили не сообщать публично до тех пор, пока их не исправят, но передали информацию разработчикам.