vulnerabilità di clubhouse

5 vulnerabilità di Clubhouse, la ricerca di Avira

Clubhouse è per certi versi l’app del momento, complice anche l’accresciuta popolarità, dovuta anche ai recenti interventi del re Mida Elon Musk e un’intervista di Mark Zuckerberg, avvenuta proprio nella nuova piattaforma. Twitter e Xiaomi hanno addirittura già lanciato le loro proposte che fanno il verso al social network incentrato sui messaggi vocali. Ma dopo un iniziale entusiasmo che ha visto utenti di tutto il mondo andare a caccia degli inviti per l’iscrizione, al momento possibile solo per utenti iOS, ecco i primi problemi che riguardano la vulnerabilità di Clubhouse.

L’app recentemente è finita sotto la lente d’ingrandimento delle società che si occupano di sicurezza e privacy. Avira ha recentemente individuato 5 vulnerabilità di Clubhouse, mentre Trend Micro ha individuato una serie di rischi per la sicurezza a cui si può andare incontro sulle piattaforma social basate su audio (qui l’articolo a riguardo). Quali sono quindi le vulnerabilità di Clubhouse?

Le 5 vulnerabilità di Clubhouse, primo posto: sicurezza e privacy

L’attenzione riguardo all’informativa sulla privacy da parte degli utenti, non è mai sufficiente. Una leggerezza che potrebbe portare i propri dati ad occhi indiscreti, in certi casi si possono verificare anche violazioni al diritto della protezione e salvaguardia dei dati personali. In un post su Linkedin, Alexander Hanff, difensore della privacy e co-fondadore di SynData AB ha evidenziato che Clubhouse non soddisfa i principi base del diritto dell’UE. Sarebbero diverse le violazioni dei requisiti legali in termini di privacy e riservatezza dei dati.

L’app allo stato attuale consente di suggerire la piattaforma agli amici, basandosi sull’accesso ai propri contatti. Senza concedere le autorizzazioni, non sarà possibile invitare gli amici su Clubhouse, diversamente, saranno mostrati i contatti della rubrica degli utenti già iscritti. L’app saltuariamente solleciterà gli utenti ad invitare gli amici che ancora non fanno parte della piattaforma e inoltrerà una notifica quando qualcuno si iscrive. Utilizzando il “Single Sign On” (con Twitter o altri social media), Clubhouse estende l’accesso a tutti i contatti, contenuti e informazioni dell’account su altri social media. Questa pratica sarebbe in contrasto con il GDPR. Inoltre, sempre il GDPR affronta il tema del trasferimento dei dati al di fuori delle aree UE e SEE. I dati raccolti da Clubhouse vengono trasferiti negli Stati Uniti, senza una base giuridica valida, riporta Avira.

Secondo posto: niente crittografia end-to-end

Sempre secondo Avira, nell’informativa sulla privacy di Clubhouse è inteso che “Al solo scopo di supportare le indagini in caso di criticità, registriamo temporaneamente l’audio mentre una room è in diretta. Se un utente segnala una violazione di affidabilità e sicurezza mentre la room è attiva, conserviamo l’audio ai fini dell’indagine sull’inconveniente, per poi eliminarlo al termine dell’analisi di quanto accaduto. Se nella room non vengono segnalati problemi, eliminiamo la registrazione audio temporanea al termine della diretta“. La società di sicurezza riassume brevemente che il contenuto audio viene eliminato in seguito al termine della diretta nella room, a patto che non vi sia in corso un’indagine su un inconveniente. Ma è inevitabile che i contenuti non siano protetti dalla crittografia end-to-end, in netto contrasto con la direttiva ePrivacy. Il diritto dell’UE stabilisce che le comunicazioni necessitino di riservatezza. Inoltre le intercettazioni delle comunicazioni, possono avvenire legalmente solo con il consenso delle parti coinvolte.

Terzo posto: profilazione

La pagina dell’informativa sulla privacy di Clubhouse stabilisce che l’app può raccogliere contenuti, comunicazioni e altre informazioni fornite. Anche l’utilizzo del servizio, i tipi di conversazioni a cui si partecipa, i contenuti condivisi, le funzionalità e le azioni intraprese, le persone e gli account con cui si interagisce, l’ora e persino la frequenza e la durata di utilizzo, potrebbero essere salvati negli archivi dell’app. Avira fa notare che non vi è esplicato come questi dati vengano gestiti.

Quarto posto: condivisione dati personali altrui

Sono due le insidie di cui bisogna tener conto una volta iscritti a Clubhouse. Una potenziale violazione dei requisiti legali in materia di privacy e riservatezza, e i rischi legati alla condivisione dei dati altrui. L’app chiede ai propri utenti di concere l’accesso al loro elenco di contatti al fine di invitare gli amici; tra i dati, il numero di telefono. Le normative UE stabiliscono che è necessario avere il consenso di una persona per condividere i dati personali con un’entità commerciali di terze parti. Inoltre quest’azienda non può utilizzare dati personali forniti da terzi (l’utente) a meno che i dati non siano stati forniti in modo lecito. La divulgazione senza consenso è illecita.

Vulnerabilità di Clubhouse, quinto posto: attenzione ai cyber-criminali

Una volta compresi i rischi per la privacy e la sicurezza, l’interesse degli utenti per Clubhouse può essere sfruttato dai cyber criminali per ottenere un guadagno attraverso la vendita di falsi inviti e false app per Android. Attraverso queste può essere possibile installare codici malevoli sui terminali per registrare conversazioni non crittografate. Esistono sistema di inviti a pagamento su gruppi Facebook, eBay e Craiglist, con prezzi che osccillano dai 20 ai 100 dollari.

Va detto che Clubhouse è una piattaforma al momento disponibile solo per iOS, cresciuta nei primi mesi della pandemia, solo ultimamente al centro delle cronache per l’interessamento dei colossi del tech. Bisogna vedere quanto l’azienda voglia adempiere alle mancanze in termini normativi, di privacy e di sicurezza. Qualcosa a cui bisogna puntare e anche in fretta, dal momento che a fine gennaio Clubhouse è stata valutata 1 miliardo di dollari, ben distante dai 100 milioni di dollari di dicembre 2020 (Fonte: Wikipedia)

Aiutaci a crescere: lasciaci un like :)

Giornalista pubblicista, SEO Specialist, fotografo. Da sempre appassionato di tecnologia, lavoro nell'editoria dal 2010, prima come fotografo e fotoreporter, infine come giornalista. Ho scritto per PC Professionale, SportEconomy e Corriere della Sera, oltre ovviamente a Smartphonology.