Clubhouse e privacy: il governo cinese può accedere a dati e messaggi

Clubhouse pronta a chiudere una falla nella privacy che potrebbe esporre gli utenti cinesi al controllo da parte del loro governo. L’allarme è dello Stanford Internet Observatory.

Clubhouse privacy axel mansoor
Axel Mansoor, il musicista di L.A. che attualmente presta il volto alla App (image from twitter.com/iamaxelm)

Nuova potenziale falla nei sistemi di privacy di Clubhouse. Secondo lo Stanford Internet Observatory, infatti, i messaggi e i dati degli utenti cinesi sono virtualmente accessibili al governo della Repubblica Popolare. Un problema mica da poco, considerato con quanta scarsa tolleranza la Cina affronta il problema dei dissidenti.

Clubhouse ha già reagito all’allarme lanciato dall’osservatorio del prestigioso ateneo californiano, annunciando che entro 72 ore la falla verrà chiusa. Non solo, l’efficacia delle nuove misure di difesa della privacy dovrà essere immediatamente valutata e convalidata da una società di sicurezza digitale indipendente.

In cosa consiste la breach nella privacy di Clubhouse?

Il logo dell'app Clubhouse su smartphone (Adobe Stock)
Il logo dell’app Clubhouse su smartphone (Adobe Stock)

Lo studio del SIO chiarisce a più riprese che  la falla è solo potenziale e non ci sono motivi di credere che sia stata sfruttata da osservatori del governo. Peraltro, la Cina si è affrettata a negare l’accesso a Clubhouse ai propri cittadini, che ora possono utilizzare la chat vocale solo dietro la protezione di un Virtual Private Network. Passare attraverso un VPN dovrebbe escludere qualsiasi rischio. In pratica, il problema è unicamente di Clubhouse: sarebbe grave per la app se gli iscritti non potessero dormire sonni tranquilli per colpa della privacy.

Ciò detto, cerchiamo di capire perché dati e messaggi vocali sono potenzialmente disponibili al governo di Pechino. La struttura di comunicazione su cui fa affidamento Clubhouse viene fornita da una società cinese, Agora Inc. Poiché i numeri ID di utenti e stanze di Clubhouse sono trasmessi sotto forma di testo non criptato (plaintext), il back-end di Agora potrebbe facilmente ottenere gli audio e attribuirli agli iscritti e alle room della chat in cui sono stati postati. E ovviamente il governo potrebbe forzare il supplier cinese a condividere questo tipo di informazioni, in caso di indagini da cui dipende la sicurezza nazionale.

Clubhouse promette: “Chiuderemo la breach nelle prossime 72 ore”

Clubhouse privacy SIO report
La copertina del report dello Stanford Internet Observer (image from cyber.fsi.stanford.edu)

TI POTREBBE INTERESSARE>>>Facebook: pronto il clone di Clubhouse

Per fortuna dei cittadini cinesi che hanno utilizzato Clubhouse prima del blocco, Agora Inc ha chiarito di non conservare né gli ID, né gli audio, né altri tipi di metadati se non per il controllo qualità e per la fatturazione. Pur volendo, dunque, non potrebbe far fronte alle eventuali pretese di Pechino. Ma il pericolo in via del tutto teorica esiste per ogni dato non protetto da crittografia che viaggi su un server cinese.

ECCO UN ALTRO CONTENUTO PER TE—>Clubhouse è il social del momento: ecco come funziona

Lo studio della Stanford si spinge oltre, dicendo che tali dati sarebbero al sicuro solo su server degli Stati Uniti. Difficile immaginare che non lo sarebbero su server di altri paesi occidentali, tuttavia. Ad ogni modo, Clubhouse è corso subito ai ripari: la app di Alpha Exploration ha infatti comunicato che proteggerà i dati tramite crittografia e che istituirà delle barriere per impedire che i “ping generati da clienti di Clubhouse siano trasmessi su server cinesi”. Si tratta di una rollout che sarà rilasciata entro 72 ore e che sarà esaminata e ratificata da una società esterna che si occupa di sicurezza dei dati.

Gestione cookie