Audiochatapp Clubhouse stuurde data onversleuteld door naar servers, zo bevestigt moederbedrijf Alpha Exploration na onderzoek van Stanford Internet Observatory. Een fix moet dat probleem oplossen.
De metadata zat in pings naar servers die de snelste route moeten bepalen om het verkeer te leiden, meldt Clubhouse in een statement aan Stanford Internet Observatory. Het zou daarbij gaan om een klein percentage van het totale dataverkeer dat loopt via Clubhouse-servers. Clubhouse belooft een snelle fix van het probleem: maandag zou het probleem al opgelost moeten zijn.
In packets stond het user-id en de id's van Rooms waar die gebruikers in zaten in plaintext en die gingen via udp naar een server toe van back-endleverancier Agora. Agora levert de sdk waar Clubhouse gebruik van maakt. Agora biedt back-enddiensten voor realtimechatten via audio en video.
Volgens SIO is Agora als deels Chinees bedrijf verplicht te voldoen aan de Chinese wetten rond data en daardoor kan de Chinese overheid vermoedelijk via verzoeken inzicht krijgen in de data van de servers van het bedrijf. Het is onlogisch dat de Chinese staat via verzoeken toegang wil krijgen tot servers in de VS, maar als die servers in China staan is dat mogelijk.
Volgens Clubhouse ging data vermoedelijk over Chinese servers, nadat Chinese gebruikers de app hadden geïnstalleerd. Clubhouse is officieel niet in China verkrijgbaar. De Chinese staat blokkeerde het gebruik van de app vorige week.
Agora heeft volgens SIO ook toegang tot de sleutels van de encryptie. Dat zou alleen niet zo zijn als Clubhouse end-to-end encryptie gebruikt, maar dat is momenteel hoogstwaarschijnlijk niet het geval. SIO heeft dataverkeer van Clubhouse gemonitord via toepassingen als Wireshark.
Clubhouse is een audiochatapp die afgelopen maanden snel aan populariteit heeft gewonnen. De app, die alleen op iOS draait, biedt gebruikers de mogelijkheid om te spreken en te luisteren naar gesprekken van anderen in Rooms. De populariteit van de app begon in Silicon Valley, maar inmiddels zijn er ook een aantal Nederlandse gebruikers.