Read, hack, repeat

Conversas do Clubhouse foram vazadas em reprodutor do app para outras plataformas

Guilherme Petry

Um desenvolvedor conhecido como AiX, foi capaz de transmitir, conversas realizadas ao vivo no Clubhouse - um dos mais recentes aplicativos de rede social que permite somente conversas por áudio - em seu aplicativo paralelo, o Open Clubhouse, para qualquer pessoa acessar.

O Open Clubhouse está desligado, mas seu site ainda exibe uma mensagem sobre como o aplicativo funcionava. "Este é um reprodutor de áudio do Clubhouse [...] um cliente Clubhouse aberto para Android, para computador e para qualquer pessoa sem convite", diz a descrição.

Captura de tela atual do site onde funcionava o Open Clubhouse. Foto: The Hack.
Captura de tela atual do site onde funcionava o Open Clubhouse. Foto: The Hack.

Em entrevista ao TechCrunch, AiX explica que desenvolveu o app para que todos pudessem acessar o Clubhouse, mesmo sem um convite ou um smartphone da Apple, já que o app é exclusivo para iOS e só são aceitos usuários convidados.

"[Algumas empresas] pedem muitas informações aos usuários, analisam esses dados e até abusam deles. Enquanto isso, eles restringem a forma como as pessoas usam os aplicativos e não dão aos usuários os direitos que eles merecem. Para mim, isso constitui monopólio ou exploração", justifica AiX.

Um porta-voz do Clubhouse disse ao Bloomberg que o responsável pelo Open Clubhouse foi banido permanentemente da plataforma, além de que medidas adicionais de segurança serão tomadas para que isso não aconteça de novo.

No entanto, pesquisadores de segurança acreditam que impedir que isso aconteça novamente pode ser uma terefa complicada. Já que não é necessário estar na sala para conseguir capturar o seu áudio, como é o caso de AiX, que descobriu uma forma de reproduzir o conteúdo das salas, mesmo não estando nelas.

O código do Open Clubhouse está disponível no GitHub, caso alguém se interesse em reproduzir o aplicativo, ou estudar como são extraídos os áudios das conversas registradas no app.

Clubhouse a serviço do governo chinês?

O fato de poder transmitir ao vivo, conversas realizadas no Clubhouse preocupa pesquisadores de segurança e privacidade. Principalmente por conta da tecnologia do Clubhouse, que foi desenvolvida pela Agora, uma startup de Xangai.

Embora a política de privacidade do app explique que seja proibido gravar, transmitir e reproduzir áudios do Clubhouse, sem a permissão dos usuários, o governo chinês pode exigir acesso a qualquer dado armazenado em território chinês. Ou seja, se por um acaso, a empresa trocar dados com um servidor da Agora, na China, o governo chinês pode acessar esses dados.

De acordo com o Stanford Internet Observatory (SIO), o ID de usuário e o ID da sala são transmitidos para o servidor do Clubhouse em texto simples, sem criptografia. Além disso, o Clubhouse provavelmente tem acesso ao áudio bruto das conversas e "potencialmente oferece ao governo chinês".

"Em pelo menos uma instância, a SIO observou metadados de sala sendo retransmitidos para servidores que acreditamos estarem hospedados na RPC, e áudio para servidores gerenciados por entidades chinesas e distribuídos em todo o mundo via Anycast. Também é possível conectar IDs de Clubhouse a perfis de usuário.", escrevem os pesquisadores.

Uma das práticas de dados do Clubhouse que mais chamou atenção dos pesquisadores do SIO é que a empresa afirma armazenar por tempo indeterminado, o áudio de conversas e grupos, para fins de investigação, confiança e segurança.

"A Política de Privacidade do Clubhouse afirma que o áudio do usuário será gravado "temporariamente" para fins de investigação de confiança e segurança. A política não especifica a duração do armazenamento 'temporário'. Temporário pode significar alguns minutos ou alguns anos [...] O governo chinês pode legalmente exigir áudio (ou outros dados de usuários) armazenados na China", explicam.


Fontes: Bloomberg; Techcrunch; Stanford Internet Observatory.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.