Un agujero de seguiridad en Clubhouse permitiría espionaje desde China
La red social especializada en conversaciones en directo Clubhouse, que se ha convertido en el primer gran fenómeno social de 2021, ha anunciado que mejorará su seguridad tras conocerse que a través de servidores en China podría descubrirse el número de identificador (que no el nombre de usuario) de una cuenta mediante una vulnerabilidad en la infraestructura que emplea la red social y que le proporciona una firma de aquel país.
Clubhouse ampliará la encriptación en la app para proteger especialmente a los usuarios en China
Tras descubrirse la vulnerabilidad, Clubhouse ha anunciado la implementación de medidas adicionales de encriptación para impedir que los clientes de Clubhouse transmitan información alguna a servidores ubicados en China. Además, Clubhouse va a contratar un equipo externo de seguridad que revise y valide las actualizaciones.
Ha sido el Observatorio de Internet de Stanford (SIO) el que ha descubierto un fallo en la empresa Agora, radicada en Shanghai, y que proporciona infraestructura final y software de gestión en tiempo real para la app de Clubhouse. Este fallo permite descubrir el número único de identificador de los usuarios de Clubhouse, que no es lo mismo que su nombre de usuario, pero no deja de ser un agujero de seguridad.
A través de esa información, que queda reflejada en formato de texto plano, podría analizarse el ID del usuario, contrastar el dato con la información sobre quién está conversando en cada sala y entonces podría identificarse al usuario. Esto es algo especialmente peliagudo, según señalan desde SIO, para los usuarios procedentes de China.
Y es que en este país se ha prohibido el uso de Clubhouse y habría consecuencias legales para cualquier ciudadano que fuese descubierto utilizando esta red social, incluso utilizando una VPN. De hecho los investigadores de SIO han descubierto metadatos manejados por Agora en una sala de Clubhouse que procederían de servidores propiedad del Partido Comunista de China. Y dado que Agora es una empresa establecida en suelo chino, si recibiera una petición por parte del Gobierno chino estaría legalmente obligada a colaborar en la identificación de los usuarios.
Agora ha informado a SIO de que su labor se limita a monitorizar la calidad de la red, afirmando que no tiene acceso directo a los datos de los usuarios, así como que no almacena audio de los usuarios ni sus metadatos. Además, dado que el audio se conserva en servidores ubicados en Estados Unidos de América el Gobierno chino no podría acceder a los mismos. Agora también asegura que los contenidos de vídeo y audio procedentes de usuarios establecidos fuera de China nunca se canalizan a través de ese país.
Desde Clubhouse señalan que cuando la app se presentó, conscientes de los posibles problemas de privacidad que tendrían lugar en China, decidieron que la aplicación no estuviera disponible en ese país. A pesar de esta circunstancia algunos usuarios han encontrado la forma de utilizarla desde allí hasta que la app fue bloqueada recientemente.
