0
0
EM MESES RECENTES,o aplicativo de mídia social baseado em áudio Clubhouse emergiu como o mais recente queridinho disruptivo do Vale do Silício. O formato parece familiar: parte Twitter, parte Facebook Live, parte falando ao telefone. Mas à medida que o Clubhouse continua a se expandir, suas falhas de segurança e privacidade passaram por um escrutínio maior—e deixaram a empresa lutando para corrigir problemas e gerenciar expectativas.
O Clubhouse, ainda em versão beta e disponível apenas no iOS, oferece aos seus usuários “salas” que são essencialmente bate-papos de áudio em grupo. Eles também podem ser definidos como endereços públicos ou painéis de discussão, onde alguns usuários são “falantes” e o resto são membros do público. A plataforma supostamente tem mais de 10 milhões de usuários e é avaliada em US$1 bilhão. Desde o ano passado, tem sido um refúgio apenas para convidados para a elite e celebridades do Vale do Silício, incluindo uma aparição de Elon Musk no início deste mês. Mas a empresa tem lutado tanto com questões concretas de segurança quanto com questões mais efêmeras sobre quanta privacidade seus usuários devem esperar.
“Com plataformas de mídia social menores e mais recentes, devemos estar atentos sobre nossos dados, especialmente quando eles passam por um enorme crescimento, ele testa muitos dos controles”, diz o pesquisador de segurança Robert Potter. “Coisas com as quais você pode ter se safar com apenas 100.000 pessoas na plataforma—você aumenta esses números em dez vezes e o nível de exposição aumenta, a ameaça aumenta, o número de pessoas investigando sua plataforma aumenta.”
Preocupações recentes de segurança sobre o Clubhouse executam a gama de vulnerabilidades a perguntas sobre a infraestrutura subjacente do aplicativo. Há pouco mais de uma semana, pesquisadores do Stanford Internet Observatory destacaram a plataforma quando descobriram que o aplicativo estava transmitindo identificadores do Clubhouse dos usuários e números de identidade da sala de bate-papo não criptografados, o que significa que um terceiro poderia ter rastreado suas ações no aplicativo. Os pesquisadores apontaram ainda que parte da infraestrutura do Clubhouse é administrada por uma empresa com sede em Xangai e parecia que os dados do aplicativo estavam viajando pela China pelo menos algumas vezes—potencialmente expondo os usuários a vigilância direcionada ou mesmo generalizada do governo chinês. Então, no domingo, Bloomberg confirmou que um site de terceiros estava raspando e compilando áudio das discussões do Clubhouse. No início da segunda-feira, mais revelações se seguiram de que as discussões do Clubhouse estavam sendo raspadas para um aplicativo Android não afiliado, permitindo que os usuários desse sistema operacional ouvissem em tempo real.
Potter, um dos pesquisadores que investigou os diferentes projetos de raspagem de dados do Clubhouse, explica que esses aplicativos e sites não pareciam maliciosos; eles só queriam disponibilizar o conteúdo do Clubhouse para mais pessoas. Mas os desenvolvedores só conseguiram fazê-lo porque o Clubhouse não tinha mecanismos anti-raspagem que pudessem ter parado isso. O Clubhouse não limitou quantas salas uma única conta poderia transmitir de uma só vez, por exemplo, para que qualquer um pudesse criar uma interface de programação de aplicativos para transmitir todos os canais públicos ao mesmo tempo.
Redes sociais mais maduras como o Facebook têm mecanismos mais desenvolvidos para bloquear seus dados, tanto para evitar violações de privacidade do usuário quanto para defender os dados que eles mantêm como ativos. Mas mesmo eles ainda podem ter exposições potenciais de técnicas criativas de raspagem.
O Clubhouse também foi examinado por sua coleção agressiva de listas de contatos de usuários. O aplicativo incentiva fortemente todos os usuários a compartilhar seus dados do catálogo de endereços para que o Clubhouse possa ajudá-lo a fazer conexões com pessoas que você conhece que já estão na plataforma. Também exige que você compartilhe sua lista de contatos para convidar outras pessoas para a plataforma, já que o Clubhouse ainda é apenas para convidados, o que contribui para uma sensação de exclusividade e privacidade. Numerosos usuários apontaram, no entanto, que quando você convida outras pessoas, o aplicativo também faz sugestões com base em quais números de telefone em seus contatos também estão nos contatos do maior número de usuários do Clubhouse. Em outras palavras, se você e seus amigos locais usarem o mesmo florista, médico ou traficante de drogas, eles podem muito bem aparecer na sua lista de pessoas sugeridas para convidar.
O Clubhouse não respondeu a um pedido da WIRED para comentários por tempo de imprensa sobre seus recentes tropeços de segurança. Em uma declaração aos pesquisadores do Observatório da Internet de Stanford, o Clubhouse detalhou mudanças específicas que planejava fazer para fortalecer sua segurança, incluindo o corte de pings em servidores na China e o fortalecimento de sua criptografia. A empresa também disse que trabalharia com uma empresa de segurança de dados terceirizada para ajudar a ver as mudanças. Em resposta ao site não autorizado que estava retransmitindo as discussões do Clubhouse, a empresa disse aos meios de comunicação que havia banido permanentemente o usuário por trás dele e adicionaria “salvaguardas” adicionais para evitar que a situação ocorresse novamente.
Embora o Clubhouse pareça estar levando a sério o feedback dos pesquisadores, a empresa não foi específica sobre todas as melhorias de segurança que implementou ou planeja adicionar. Além disso, dado que o aplicativo não parece oferecer criptografia de ponta a ponta aos seus usuários, os pesquisadores dizem que ainda há uma sensação de que o Clubhouse não pensou adequadamente em sua postura de segurança. E isso é antes mesmo de você lidar com algumas das questões fundamentais de privacidade que o aplicativo levanta.
Ao iniciar uma nova sala Clubhouse, você pode escolher entre três configurações: Uma sala “aberta” é acessível por qualquer usuário na plataforma, uma sala “social” admite apenas pessoas que você segue e uma sala “fechada” restringe o acesso aos convidados. Cada um vem com seu próprio nível implícito de privacidade, que o Clubhouse poderia tornar mais explícito.
“Acho que para salas públicas, o Clubhouse deve dar aos usuários a expectativa de que público seja público para todos os usuários, já que qualquer um pode participar e gravar, tomar notas, etc.” diz David Thiel, diretor de tecnologia do Stanford Internet Observatory. “Para salas privadas, eles podem transmitir isso como em qualquer
mecanismo de comunicação, um membro autorizado pode gravar conteúdos e identidades, portanto, certifique-se de estabelecer expectativas e confiar nos participantes.”
Como qualquer rede social proeminente, o Clubhouse também tem lutado para lidar com abusos na plataforma. Os termos de serviço do aplicativo proíbem discursos de ódio, racismo e assédio a partir de novembro, e a plataforma oferece alguns recursos de moderação, como a capacidade de bloquear usuários ou sinalizar uma sala como potencialmente abusiva. Mas uma das maiores características do Clubhouse também é um problema para o antiabuso: as pessoas podem usar a plataforma sem a responsabilidade de que suas contribuições sejam salvas automaticamente como postagens. Isso pode encorajar alguns usuários a fazer observações abusivas ou depreciativas, pensando que não serão gravadas e não enfrentarão consequências.
Thiel, de Stanford, diz que o Clubhouse atualmente armazena gravações de discussões temporariamente para revisar em caso de alegações de abuso. Se a empresa implementasse criptografia de ponta a ponta para segurança, no entanto, teria ainda mais dificuldade em ficar por cima do abuso, porque não seria capaz de fazer essas gravações tão facilmente. Toda plataforma de mídia social enfrenta alguma versão dessa tensão, mas especialistas em segurança concordam que, quando relevante, os benefícios de adicionar criptografia de ponta a ponta valem o desafio adicional de desenvolver soluções antiabuso mais diferenciadas e criativas.
Mesmo a criptografia de ponta a ponta não elimina a possibilidade adicional de que qualquer usuário do Clubhouse possa estar gravando externamente a conversa em que está. Isso não é algo que o Clubhouse possa resolver facilmente. Mas pode pelo menos definir expectativas de acordo, não importa o quão amigável e fora do registro a conversa seja.
“O Clubhouse deve ser claro sobre o que vai contribuir para sua privacidade”, diz Potter, “para que você possa definir sobre o que vai falar de acordo”.
FONTE: WIRED