روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ از زمانی که Clubhouse معرفی شد، این سرویس چت صوتی –قابل دسترسی با دعوت نامه- در صدر اپهای دانلودشده در اپاستور قرار گرفته است و تعداد مخاطبینش تنها در عرض چند هفته از 600 هزار به 10 میلیون رسید. خوب یاد بد، بهرحال آوازهی این اپ همهجا پیچیده و اسمش بر سر زبانها افتاده. درست در میان این همه هیاهوهاست که حریمخصوصی سایبری افراد ممکن است به خطر بیافتد. در ادامه با ما همراه شوید تا توضیح دهیم کلابهاوس چیست و ممکن است چه مسائل امنیتی و حریمخصوصی داشته باشد.
احیاناً اگر تا به حال این اسم به گوشتان نخورده است باید بگوییم Clubhouse اپلیکیشنی است که فضایی برای چت صوتی به کاربران ارائه می دهد. کاربران میتوانند به مکالمهای ملحق شده یا تنها بدان گوش دهند (با اجازهی فرد سازماندهنده یا همان organizer). یکی از طرفداران بنام این اپ ایلان ماسک است که اواخر ژانویه با توییتش همه را به سمت دانلود این اپ سوق داد. مارک زاکربرگ هم کمی بعد ملحق شد و بعد دریک (خواننده) و بعد هم بقیه مشاهیر. این تأییدها از کلابهاوس اپی محبوب ساخته و همین باعث شد خیلی زود مخاطبین وسیعی پیدا کند. با این وجود، این اپ هنوز در فاز بتا قرار دارد و خوب اسکمرها هم که همیشه کمین میکشند رسانه اجتماعی جدیدی بیاید (چون میدانند موازین امنیتیاش هنوز تا تکمیل شدن خیلی راه دارد!).
یک کلابهواسِ دیگر!
Clubhouse همانقدر که سر و صدا به راه انداخت، همانقدر هم باعث سردرگمی شد. وقتی ایلان ماسک حضورش را در این شبکه رسانهای اعلام کرد، سرمایهگذاران بلافاصله برای خرید سهام به این اپ هجوم آوردند اما آن را با اپی دیگر که بسیار به کلابهاوس شبیه بود با این حال ماهیت کاملاً متفاوتی داشت اشتباه گرفتند. کلابهاوسِ واقعی آن زمان هنوز به طور عمومی و علنی عرضه نشده بود. همچنین اینکه Clubhouse در حال حاضر تنها برای گوشیهای آیفون قابل دسترسی است. اما چنین محدودیتی باعث نشد برخی عاشقان این چت، اپ مدیریت پروژه با همین اسم را از گوگلپلی دانلود نکنند. کاربران بعد از پی بردن به این اشتباه خود سازندگان آن را مجبور کردند موقتاً از این فروشگاه آنلاین خارج شوند. این اتفاقات هرچند جزئی اما میتواند برای کاربران کلابهاوس تهدید محسوب شود. متأسفانه، گوگلپلی هم خود میزبان کلی ماهیت جعلی از این اپ بوده است. کاربران اسمارتفون یا تبلت که چنین اپهایی را نصب میکنند این خطر همراهشان است که به مجرمان سایبری دسترسی به پسوردهای خود (پسوردهای مخصوص اپهای بانکی و رسانههای اجتماعی) و نیز لیست مخاطبین را بدهند. دیگر نگوییم که چقدر قرار است از این به بعد با بنرهای تبلیغاتی بمباران شوند.
کاربران اندرویدی که تمایل دارند در Clubhouse به مکالمات ملحق شوند تنها باید حواسشان به وبسایت Clubhouse باشد و صبر کنند تا اپ رسمی آن روی گوگلپلی عرضه شود.
مسائل حریمخصوصی Clubhouse
از آنجایی که Clubhouse هنوز در فاز بتا است، قرار است به تعداد افراد اندکی محدود شود؛ بدینترتیب خیلی راحت میتوانند به شناسایی باگ و ارائه فیکس بپردازند. جای تعجبی هم ندارد که برخی باگها بدون برنامهریزی و خیلی ناگهانی در سیستم امنیتی این اپ ظاهر شدند. متخصصین در همین تاریخچهی کوتاه Clubhouse مجبور شدند هشدار دهند که اپ مذکور حریم خصوصی کاربر را تضمین نمیدهد. محققین در اواسط ماه فوریه به این نکته پی بردند که کاربر و آیدیهای اتاق چت به صورت متن ساده[1] به سرورها انتقال داده شدهاند. بر اساس یافتهها، Agora که ارائه دهندهی چینی زیرساخت بکاند برای کلابهاوس است احتمالاً به صوت خام کاربران دسترسی دارد؛ هرچند کسی هنوز این ادعا را تأیید یا تکذیب نکرده است. تنها چند روز بعد از این خبر شایعاتی سر گرفت مبنی بر رکوردهای نشتشده روی توییتر و کلابهاوس هم خیلی زود این شایعات را تأیید کرد. اینطور گزارش شد که کاربری تصمیم داشته محتوای این اپ را روی وبسایت خودش پخش کند. این شرکت در خصوص مسئله پیش آمده اطلاعات و جزئیات دقیقی ارائه نداده است. فعالیت مجرم متوقف شد و توسعهدهندگان نیز تضمین دادند این باگ خیلی سریع رفع میشود اما خدا میداند چند حفره امنیتی دیگر در این نرمافزار وجود دارد. همچنین گفته میشود فردی ماهر در حوزه تکنولوژی خیلی راحت میتواند از کد این اپ سر در بیاورد. توسعهدهندهای سنپترزبورگی به طور عملی ساخت کلاینت غیررسمی Clubhouse را برای اندروید (تنها در عرض یک روز) تأیید کرده است! این هم دلیلی دیگری که کاربران باید نسبت به آسیبپذیریهای این اپ آگاه باشند.
به هک نیاز نیست
بعد از ثبتنام، این اپ از شما درخواست لیست مخاطبین را میکند. اگر درخواست را نپذیرید قادر نخواهید بود کسی را به این شبکه اجتماعی دعوت کنید. از این رو، برای استفاده کامل از این اپ باید همراهی مخاطبینتان را نیز داشته باشید. افزون بر این، خطمشی حریم خصوصی به توسعهدهندگان اجازه میدهد چنین دادههایی را به طیف وسیعی از طرفسومها انتقال دهند (از کنتراکتورها گرفته تا آژانسهای بازاریابی و آژانسهای مجری قانون). علاوه بر این، این اپ حالت ناشناس نیز ارائه نمیدهد؛ پس هر اقدامی از سوی شما از خود اثری به جای خواهد گذاشت. این اپ دکمه Delete account نیز ندارد. برای شروع این روند باید درخواستی مکتوب ارسال کنید و از همه بدتر اینکه کلابهاوس در حال حاضر احراز هویت اکانت کامل و بینقص ندارد؛ بدینترتیب هر کسی میتواند با هویتی جعلی وارد شود. این ماجرای جعل هویت شاید ظاهراً چندان اهمیتی نداشته باشد اما در باطن ابعاد بسیار جدی دارد: اسکمرها از دیرباز برای مقاصد شخصی خود از اکانتهای فیک مشاهیر استفاده میکردهاند- کلی اسکم بیتکوین روی توییتر. نمیشود به هر چیزی که میشنویم اعتماد کنیم و خوب اتاق چتهای کلابهاوس هم از این قاعده مستثنی نیست.
توصیههای امنیتی
- تا زمان نگارش این مطلب، Clubhouse برای اندروید ارائه نشده است پس گول اپهای مشابه را در گوگلپلی نخورید.
- به Clubhouse اعتماد نکنید و فکر نکنید حواسش به صحبتهای شما و حریم خصوصی گفتههای شماست. تنها اطلاعاتی را به اشتراک بگذارید که میدانید اگر عمومی هم شوند آسیبی به حریم شخصیتان وارد نخواهد شد.
- پیش از نصب هر اپ جدیدی، به این فکر کنید که آیا واقعاً بدان نیاز دارید یا خیر.
- پیش از نصب اپها در موردشان تحقیق کنید- در مورد توسعهدهندگانش، اینکه چقدر داده از شما میخواهند و میتوانند این دادهها را با چه کسی به اشتراک بگذارند بررسیهای لازم را انجام دهید.
- همیشه گارد خود حفظ کنید- اسکمرها از الان تا همیشه در حال کشیدن نقشههایی هستند برای فریب دادن کاربران. ما به طور قطع با اقدامات آنها خواهیم جنگید اما خود نیز سعی نکنید برگ جدیدی به دفتر فجایع سایبری اضافه کنید.
- دستگاههای خود را به راهکار امنیتی مطمئن که کارش مسدود کردن بدافزارهاست (برای مثال اپهایی که خود را شبیه کلابهاوس میکنند) تجهیز کنید.
[1] plaintext
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
