Hace una semana, los responsables de la popular app de chat de audio Clubhouse anunciaban su intención de mejorar la seguridad de la misma tras haberse publicado un informe que desvelaba que tanto cibercriminales como espías a las órdenes de gobiernos tenían la capacidad de acceder a las conversaciones de sus usuarios.
Ahora, un nuevo ataque ha demostrado que sigue siendo posible acceder al audio en directo: este fin de semana, un usuario no identificado fue capaz de retransmitir conversaciones de terceros desde «varias salas de chat» a su propio sitio web.
-kUnH--984x468@El%20Correo.jpg)
En teoría Clubhouse sólo está disponible para usuarios de iOS, pero aparentemente este usuario recurrió para explotar esta vulnerabilidad al mismo kit de herramientas JavaScript que se utilizan para compilar el cliente de la plataforma.
¿Clubhouse puede hacer promesas con respecto a la seguridad de su app?
La compañía ha «baneado permanentemente» a este usuario en particular, y asegura que las nuevas salvaguardas instaladas impedirán que este incidente vuelva a repetirse, pero diversos investigadores en ciberseguridad sostienen que Clubhouse puede no estar en condiciones de hacer una promesa así.
Así, según el Observatorio de Internet de la Universidad de Stanford (la primera entidad que denunció a principios de mes la falta de seguridad de Clubhouse), los usuarios de esta app deben asumir que todas las conversaciones que lleven a cabo a través de la misma están siendo grabadas.
Alex Stamos, antiguo jefe de seguridad de Facebook, se ha manifestado en el mismo sentido en declaraciones a Bloomberg:
«Clubhouse no puede proporcionar ninguna garantía de privacidad para las conversaciones mantenidas en cualquier parte del mundo».
Además, Stamos y su equipo también confirmaron que Clubhouse depende de una startup china llamada Agora Inc, para llevar a cabo las labores de backend de la aplicación (tráfico de datos y producción de audio), lo que supone que las comunicaciones a través de la misma están sometidas a la vigilancia del régimen de Pekín.
Agora, por su parte, insiste en que no «almacena ni comparte información de identificación personal» para ninguno de sus muchos clientes.
Imagen | Pixabay & Alena from the Noun Project
Vía: Genbeta
