Sociální síť Clubhouse se stala v mnoha zemích hitem posledních týdnů. Hlasové a často spontánní konverzace ve virtuálních místnostech zaujaly i desetitisíce Čechů. Mnohým nahradila typické hospodské povídání, které teď není možné. Aplikace od dvou amerických zakladatelů se ovšem dostává i do hledáčku bezpečnostních analytiků, kteří objevily teoreticky problémové napojení na čínské technologie.

Jak poukázali výzkumníci z Internet Observatory Stanfordovy univerzity (SIO), Clubhouse využívá síťové infrastruktury čínského startupu Agora. Jde o firmu, která vedle svého sídla v Šanghaji působí také v kalifornském Silicon Valley a dodává backendové služby a platformu právě pro video či audio v reálném čase. Díky Agoře se tak může relativně malý Clubhouse soustředit především na design a vývoj samotné aplikace, zatímco hlavní technologie na pozadí má vyřešené.

Na tom by samo o sobě ještě nebylo nic špatného, avšak analytici ze stanfordské Internet Observatory narazili i na potenciální bezpečností rizika, když mimo jiné potvrdili propojení Clubhousu právě s čínskou firmou Agora, o níž předtím spekuloval Bloomberg. Ve svém bádání SIO zjistilo, že některá metadata, jako je uživatelské ID a ID jednotlivých místností, jsou posílány v plaintextu, tedy zcela nešifrovaném formátu, a tak je potenciálně snadné je zachytit.

„SIO se rozhodlo zveřejnit tyto bezpečnostní problémy, protože je lze relativně snadno odhalit a protože představují bezprostřední bezpečnostní rizika pro miliony uživatelů Clubhousu, zejména v Číně. SIO objevilo také další bezpečnostní chyby, které jsme soukromě oznámili společnosti Clubhouse a zveřejníme je, jakmile budou opraveny, nebo po stanoveném termínu,“ uvedli ve svém reportu stanfordští výzkumníci.

Foto: CzechCrunch

Sociální síť Clubhouse

Agora by navíc podle nich mohla mít přístup také k uživatelskému audiu (byť to není 100% jisté), k němuž by pak následně teoreticky mohla dát přístup čínské vládě. Právě na tyto bezpečnostní hrozby analytici upozorňují, protože minimálně v jednom případě se jim podařilo odhalit, že metadata místností na Clubhousu putovaly přes servery, které byly umístěny v Číně, stejně jako audio bylo posíláno přes servery, které spravují čínské entity a vysílají z nich do celého světa přes Anycast.

Spoluzakladatelé sítě Paul Davison a Rohan Seth na zjištění výzkumníků prestižní kalifornské univerzity promptně reagovali a oznámili, že s ohledem na situaci upraví své bezpečnostní protokoly – přidá další šifrovací vrstvu a zamezí, aby data uživatelů procházela přes čínské servery. Změny by měly nastat do 72 hodin, tedy začátkem tohoto týdne, přičemž by je měla následně prověřit a ověřit i externí zabezpečovací firma.

Clubhouse, který se stal fenoménem posledních týdnů také v Česku, tvrdí, že nahrávky z místností ukládá jen dočasně, aby mohl zpětně obsah moderovat a blokovat uživatele porušující podmínky. Už ovšem nespecifikuje, co v jeho pojetí znamená ona dočasnost. Čínský startup Agora, který oficiálně odmítá spolupráci s Clubhousem komentovat, tvrdí, že nemá přístup ke sdílení nebo ukládání dat o koncových uživatelích, jež by je mohla identifikovat.

„Hlasový či video traffic od uživatelů mimo Čínu – včetně uživatelů ze Spojených států amerických – není nikdy veden přes Čínu,“ doplnili zástupci Agory pro Bloomberg. Problém je však především v tom, že Agora kvůli svému šanghajskému původu musí konat podle čínských kybernetických zákonů.

Čínským firmám je nařízena kooperace s vládou komunistického režimu, pokud to jeho zástupci budou kvůli „národní bezpečnosti“ vyžadovat. Teoreticky by tak Agora například musela předávat dostupná data čínské vládě nebo by je mohla na její vyžádání přímo začít sbírat.

Samotná Internet Observatory, která se na Stanfordově univerzitě zabývá dezinformacemi na internetu, ovšem podotýká, že v případě čínské vlády je velký rozdíl mezi potenciálem sbírat data a tím, zda se tak skutečně děje. Na otázku, zda v současné době může čínská vláda přistupovat k audiu z Clubhousu, odborníci odpovídají, že pravděpodobně nikoliv, zejména dokud budou zvukové nahrávky ukládány na amerických serverech.

Foto: CzechCrunch

Aplikace Clubhouse

Ačkoliv by se čínská vláda také mohla přímo napojit na servery Agory bez jejího vědomí, současné zprávy jsou na úrovni potenciální hrozby. Neexistují zatím žádné konkrétní důkazy o tom, že by čínská vláda skutečně Clubhouse či její uživatele sledovala.

I kdyby Čína sledovala nešifrovaná metadata o uživatelích, vystopování konkrétních identit stojících za číselnými kódy už je výrazně náročnější, jestliže má Agora přístup skutečně pouze k metadatům. Není to však nemožné a existují různé cesty. „Jakýkoliv pozorovatel internetového trafficu by mohl jednoduše spojit jednotlivá ID ve sdílených místnostech a zjistit, kdo si s kým povídá. Zejména pro uživatele z pevninské Číny to je znepokojující,“ uvedli analytici na Twitteru ke zmíněnému posílání jednotlivých ID v plaintextu.

V Číně samotné ostatně Clubhouse svou sociální síť oficiálně vůbec spouštět nechtěl, ale nakonec proti ní tamní cenzoři přesto museli zasáhnout, protože si ji lidé stáhli, i když nebyla v čínském App Storu k dostání. Clubhouse je prozatím dostupný pouze na iPhonech, přičemž na aplikaci pro Android se i po nedávné velké investici pracuje.

„S ohledem na historii Číny v oblasti ochrany osobních údajů jsme učinili složité rozhodnutí, a když jsme spouštěli Clubhouse v App Storu, zpřístupnili jsme jej ve všech zemích po celém světě, s výjimkou Číny. Někteří lidé v Číně našli řešení, jak aplikaci stáhnout, což znamenalo, že – dokud nebyla aplikace začátkem minulého týdne blokována Čínou – konverzace, jichž byli součástí, mohly být přenášeny prostřednictvím čínských serverů,“ uvedl Clubhouse.

Americká sociální síť tak stejně jako mnohé další aplikace ze západu skončila za tzv. velkým firewallem, který v nejlidnatější zemi světa blokuje přístup na mnohé služby svobodného internetu. Oficiální důvody nejsou známé, ovšem lze si je domyslet. Povaha Clubhousu dovolovala čínským uživatelům diskutovat takřka vše, včetně „zakázaných“ témat, jako je perzekuce Ujgurů nebo masakru na Náměstí nebeského klidu.

Podobné kritice byla v minulosti vystavena i populárnější sociální síť TikTok. Aplikace, kterou jen v Česku používá přes milion lidí, patří čínskému gigantovi ByteDance a ten je povinný konat podle tamních kybernetických zákonů. Má pobočky v USA, razí prozápadní přístup a tvrdí, že data o uživatelích má na serverech v Singapuru, ovšem v minulosti mazala protičínský obsah, jak dříve informoval deník The Guardian, byť přímo v Číně nefunguje TikTok jako takový, ale lokální verze zvaná Douyin.

Co se týče čínského startupu Agora, který se do této chvíle držel spíše mimo pozornost veřejnosti, tak ten na prozatím nepřiznané spolupráci, o níž se však již od loňského léta mluví, spíše vydělal. Za poslední měsíc vyrostla cena jedné akcie na americké burze Nasdaq o více než 180 procent, což zvýšilo hodnotu šanghajské firmy na více než 10 miliard dolarů.