Los desarrolladores de la aplicación de salas de chat de audio Clubhouse han anunciado que planean añadir un cifrado adicional para evitar la transmisión de pings (utilidad de diagnóstico) a servidores de China. El anuncio llega después de que un equipo de investigadores de la Universidad de Stanford advirtiese haber encontrado vulnerabilidades en su infraestructura. En un nuevo informe, el Observatorio de Internet de Stanford (SIO) afirmó que la empresa Agora Inc., con sede en Shanghái, que fabrica software de participación en tiempo real, es uno de los proveedores de “infraestructura de back-end a la aplicación Clubhouse”.
El SIO descubrió además que los números de identificación únicos de los usuarios de Clubhouse y las identificaciones de las salas de chat se transmiten en archivos de texto simples, lo que probablemente otorga a Agora acceso a audios brutos de la aplicación. De esta forma, cualquiera que observe el tráfico de Internet podría cotejar los ID de las salas de chat compartidas y ver quién está hablando con los demás, explicó el SIO en Twitter; “para los usuarios de China continental, esto es preocupante”.
Los investigadores afirman que hallaron metadatos en al menos una sala de Clubhouse “que se retransmitían a servidores que creemos que están alojados en la República Popular China”, y que el audio se enviaba “a servidores gestionados por entidades chinas y distribuidos por todo el mundo”. Eso significa que, dado que Agora es una empresa china, estaría legalmente obligada a ayudar al gobierno de Pekín a localizar y almacenar los mensajes de audio, en caso de que las autoridades consideren que los mensajes suponen una amenaza para la seguridad nacional.
Clubhouse ha respondido a los investigadores del SIO en un comunicado explicando que, cuando se lanzó la aplicación, los desarrolladores decidieron no ponerla a disposición del público en China, “dado el historial de este país en materia de privacidad”. Sin embargo, algunos usuarios encontraron una solución para descargar la aplicación, según la compañía, lo que significa que las conversaciones de las que forman parte estos usuarios podían ser transmitidas a través de servidores ubicados en China (la aplicación fue bloqueada a principios de esta semana).
Cambios en curso
Por su parte Agora ha salido al paso de las acusaciones de SIO alegando que sólo almacena el audio o los metadatos de los usuarios para supervisar la calidad de la red y facturar a sus clientes, que el audio se almacena en servidores de Estados Unidos, y que el gobierno chino no puede acceder ellos. Desde Agora se han negado a comentar más detalles sobre la relación de la empresa con Clubhouse, pero afirman ser muy transparentes en la “forma en la que tratan los datos de los usuarios”. La empresa asegura que las autoridades “no tienen acceso, no comparten ni almacenan datos personales identificables de los usuarios finales” y añaden que “el tráfico de voz o vídeo de los usuarios no basados en China -incluidos los estadounidenses- nunca se enruta a través de China”.
Clubhouse también ha declarado que va a realizar cambios necesarios “para añadir encriptación y bloqueos adicionales para evitar que los cliente” transmitan pings a servidores chinos” y afirman que contratarán a una empresa de seguridad externa para revisar y validar las actualizaciones. La aplicación de audio en directo, sólo para iOS, se ha hecho popular entre muchos en Silicon Valley, incluido el CEO de Tesla, Elon Musk, cuyo debut en Clubhouse a principios de este mes atrajo a miles de oyentes simultáneos.