مخاطر تطبيق كلوب هاوس

تستخدمون منصة "كلوب هاوس" هل تدركون خطرها على بياناتكم وخصوصيتكم!

البنية التحتية الصينية لتطبيق "كلوب هاوس"، تثير مخاوف أمنية لعدد كبير من الباحثين الأمنيين
البنية التحتية الصينية لتطبيق "كلوب هاوس"، تثير مخاوف أمنية لعدد كبير من الباحثين الأمنيين © نايلة الصليبي

اختراق منصة "كلوب هاوس"، ونقل الصوت والبيانات الوصفية لبعض غرف الدردشة من "كلوب هاوس" إلى موقع آخر ومشاركتها على الشبكة.سلطت هذه الحادثة الضوء على هذا التطبيق، علما أن كثيرين منكم اليوم والذين يملكون هاتف أيفون يعمل بنظام التشغيل iOS  13 وما بعده، بدأوا باستخدام تطبيق "كلوب هاوس"، الذي أطلق في مارس 2020 في كاليفورنيا من قبل بول دافيسون وروان سيث، وهما  من رواد أعمال الإنترنت معروفان في السليكون فالي. كيف يقوم  تطبيق "كلوب هاوس "بعمله؟ وما هي التكنولوجيا و البِنَى التحتية لمنصة  Clubhouse؟ و لماذا يشكل خطرا على بيانات المستخدمين و خصوصيتهم ؟

إعلان

كان تطبيق "كلوب هاوس"  مجهولا إلى أن قام  إلون ماسك  بامتداح  خصائص هذا التطبيق  في أحدى تغريداته في شهر يناير 2021، و بَدْء مناقشات حول شركاته و أعماله وقضايا البورصة. فانتشر استخدامه كالنار في الهشيم وارتفعت قيمته السوقية.

يتيح تطبيق "كلوب هاوس" الانضمام إليه فقط بدعوة من مستخدم في النادي. وبعد الانضمام، يفتح المستخدمون غرف دردشة لموضوعات مختلفة لمناقشتها في النادي. وآخرون يستخدمون "كلوب هاوس" كتطبيق بودكاست مباشر.

أكدت ريم بهنسي وهي إحدى الناطقات باسم تطبيق "كلوب هاوس"  لصحيفة بلومبيرغعن حصول هذا الاختراق لغرف الدردشة وأنه تم نقل محتوى عدة غرف دردشة عبر موقع المخترق. وقد حظر هذا المستخدم من استخدام المنصة واتخذت خطوات لمنع حدوث اختراق أخر من هذا النوع. لم تحدد بهنسي ولا شركةAlpha Exploration، الشركة الأم لتطبيق "كلوب هاوس"، ما هي هذه الخطوات!

أنوه هنا أنه عند النقر على موقع الشركة على صفحة بول دافيسون على موقع لينكد ان موقع Alpha Exploration Co غير موجود والنطاق للبيع؟

لكن هل تدركون ما هي خلفية هذا التطبيق وكيف يقوم بعمله؟ وما هي التكنولوجيا وراء"كلوب هاوس"؟

المحلل التكنولوجي ريتشارد تشو كتب في أغسطس 2020 تحليلا عن شركة البث المباشر الصينية الأمريكية أغورا، وهو من بين المستثمرين في رأسمال هذه الشركة. يصف فيها كيف ولدت منصة "كلوب هاوس".

حسب ريتشارد تشو تم أنشاء تطبيق "كلوب هاوس" في أسبوع واحد فقط من قبل شركة Alpha Exploration Co. ويستند التطبيق إلى منصة البث الصوتي المباشر من خِدْمَات شركة أغورا الصينية. وحسب ريتشارد تشو من بين عملاء أغورا، شركات كـ شياومي، أوبو، لينوفو، تيك توك وByte Dance الشركة الأم لتيك توك

من هي أغورا؟

هي شركة ناشئة أسسها عام 2013 توني تشاو Tony Zhao، مقرها شنغهاي ولها مقر مزدوج في سانتا كلارا، كاليفورنيا، الولايات المتحدة الأمريكية.

تنشط شركة أغورا في أكثر من 100 دولة في العالم. يعتبر السوق الصيني المحرك الرئيسي للشركة بحوالي ما يقرب  80٪ من إجمالي الخدمات و المبيعات عام 2019.

هذه البنية التحتية الصينية لتطبيق "كلوب هاوس"، تثير مخاوف أمنية لعدد كبير من الباحثين الأمنيين الذين يشكون بأن تطبيق "كلوب هاوس"  ينقل معلومات المستخدمين للحكومة الصينية، لتحديد ومراقبة المستخدمين ولا سيما من يتعاطون الشأن السياسي.

حسب اليكس ستاموس الباحث في امن المعلومات والمسؤول امن المعلومات السابق في فيسبوك ورئيس  مرصد ستانفورد للإنترنت  the Stanford Internet Observatory، إن اعتماد "كلوب هاوس" على شركة أغورا يثير القلق بشأن الخصوصية، خاصة بالنسبة للمواطنين الصينيين والمنشقين الذين يظنون أن محادثاتهم على تطبيق أمريكي بعيدة عن متناول مراقبة الدولة.

 فقد أكد ستاموس وفريقه من أن "كلوب هاوس" يعتمد على شركة Agora Inc. للتعامل مع الكثير من عملياتها الخلفية back-end operations. في حين أن "كلوب هاوس" هو المسؤول عن تجربة المستخدم، كإضافة أصدقاء جدد وإيجاد غرف دردشة. كما تعتمد منصة "كلوب هاوس" على الشركة الصينية لإدارة حركة البيانات وإدارة محتوى إنتاج الصوت.

نشر مقالٌ أخر على موقعبلومبيرغ يحذر من البنية التحتية لتطبيق "كلوب هاوس".  يُذكِر بأن جميع الشركات في الصين تخضع لقانون الأمن السيبراني، والذي يعطي الحق للحكومة بالوصول إلى البيانات للشركات العاملة في الصين.

تذكرون قضية تيك توك واتهامات الرئيس الأمريكي السابق دونالد ترامب لهذا التطبيق بالتجسس على المواطنين الأمريكيين. وأيضا تحذير المشرعين الأميركيين، الذين يعتبرون أن الشركات التكنولوجية الصينية  قادرة على بناء أبواب خلفية   Backdoors في الأجهزة والبرامج والتطبيقات. ما يمّكن – حسب المشرعين الأمريكيين- الحزب الشيوعي الصيني استغلالها، وهذا الأمر يثير التحفظ المتزايد تجاه شركات التكنولوجيا العملاقة في الصين.

ردت شركة أغورا على حادثة الاختراق مؤكدتا أنها لا يمكنها التعليق على بروتوكولات الأمن أو الخصوصية في تطبيق "كلوب هاوس". وأصرت على أنها لا "تخزن أو تشارك معلومات شخصية" لأي من عملائها. قالت الشركة " اننا ملتزمون بجعل منتجاتنا آمنة قدر ما نستطيع.

غير أن البحوث التي أجراها مرصد ستانفورد للإنترنت  the Stanford Internet Observatory، والتي يرأسها اليكس ستاموس تدحض مزاعم شركة أغورا هذا.

فقد كشفت هذه البحوث عن عملية نقل معرف مستخدم "كلوب هاوس" الفريد ومعرف غرفة الدردشة في نص عادي غير مشفر، ويمكن لشركة أغورا الوصول الي محادثات المستخدمين والتي من الممكن أيضا أن تمنح حق الوصول إليها للحكومة الصينية.

فحسب بحوث the Stanford Internet Observatory فإن حزم معرف "كلوب هاوس" الخاص والفريد بكل مستخدم انضم إلى غرفة الدردشة ومعرف غرفة الدردشة، تُنقَلُ بشكل نص عادي و هي غير مشفرة؛ فإن أي شخص يمكنه استخدام برنامج التقاط الحزم المتاح للجمهور كـ Wireshark مثلا، يمكنه التنصت على المحتوى.

في هذا الإطار نشر مهندس البرمجيات الألمانيأندرياس ليهرر تحليلا قام به لحركة المرور لتطبيق "كلوب هاوس". يبين أن هناك العديد من المحادثات تنقل إلى خوادم مع عناوين نطاقات مملوكة لشركة أغورا في الصين   كـ "agora.io و "agoraio.cn.

كما كشف محلل أمريكي أمني أخر Zen Chan، بأن الوثيقة الرسمية لاستعمال خِدْمَات شركة أغورا، تطلب إنشاء قائمة بيضاء للنطاق "ap.agoraio.cn، وهو نطاق يرتبط بالصين وبالأراضي الصينية. نطاق تستضيفه شركة Alicloudالتي توفر خدمة السحابة الصينية. وعلاوة على ذلك، يشير الدليل الرسمي لشركة أغورا إلى أنه بإمكان الشركة الوصول إلى حركة المرور والبيانات الصوتية في تطبيق "كلوب هاوس".

هذا يعني أن جميع البيانات غير المشفرة التي تستضيفها خوادم في جمهورية الصين الشعبية يمكن الوصول إليها من قبل الحكومة الصينية. وينقل تطبيق "كلوب هاوس" البيانات الوصفية المذكورة بوضوح إلى خوادم النطاقات التي تستضيفها في الصين، ويعتقد Zen Chan أن الحكومة الصينية يمكنها جمع البيانات الوصفية دون الوصول إلى البنية التحتية في شركة أغورا. إذ قامت الصين بحظر التطبيق وغرف الدردشة التي تتطرق للأقليات الأثنية كالويغور وسكان "التيبت" والمسائل الأخرى التي تعتبرها بكين حساسة بالنسبة لأمنها القومي.

استخدام البيانات الوصفية

لكن ليس علينا الذعر. ليس هنالك الآن من خطر داهم على الخصوصية، فككل المنصات الاجتماعية، يمكن مع بيانات التعريف لمستخدم ما لتطبيق"كلوب هاوس" ومع بيانات المستخدم المتوفرة على المنصات الاجتماعية وغيرها من المواقع؛ يصبح من السهل تحديد هُوِيَّة المستخدم و تفاصيل حياته من خلال البحث عن بياناته وربط تلك البيانات بما يعرف بالـData Mapping

البيانات الصوتية

الذي يجب معرفته أيضا، أنه من خلال شروط استخدام أو سياسة استخدام تطبيق "كلوب هاوس"، تشرح شركة Alpha Exploration أنها تحذف المحادثات تِلْقائيًا إذا لم يتم الإبلاغ عن "انتهاك الثقة والسلامة" طوال الدردشة، ولكنها لا تؤكد متى يتم الحذف. كثيرون يعتقدون أن الدردشات الصوتية تحذف داخل التطبيق بمجرد مغادرة الجميع لغرفة الدردشة.

أي إذا كان هناك حادث، يحتفظ "كلوب هاوس" بالبيانات الصوتية حتى "يكتمل التحقيق". وعلى الرغم من أن الشركة أضافت في سياسة الاستخدام أن التسجيلات الصوتية المؤقتة مشفرة، إلا أن الشركة تحتفظ بالحق في مشاركتها مع الشرطة إذا لزم الأمر. ولا يوجد تعريف واضح للحفظ المؤقت في سياسة الاستخدام التي يمكن أن تكون دقائق أو سنوات.

مع اكتشاف علاقة أغورا مع "كلوب هاوس"، وعلى الرغم من أن التطبيق يؤكد انه يوفر تشفيرًا للبيانات التي تعرف بالـ Data at rest. وهي البيانات التي يتم حفظها في خادم ما أو في الكمبيوتر في أي شكل رقمي، فلا يوجد أي ضمان حسي بأن شركة أغورا ليس لديها إمكانية الوصول إلى البيانات الصوتية.

من هنا التحذير من مخاطر استخدام تطبيق "كلوب هاوس" فهو تطبيق غير مشفر من الطرف إلى الطرف أو E2E أي بمعنى أخر أن مفتاح التشفير هو في يد موفر البنية التحتية أغورا.

ربط الدخول بحسابات المنصات الاجتماعية الأخرى

من الأمور الأخرى التي تثير مخاوف خبراء الأمن هي طلب التطبيق ليس فقط لرقم الهاتف ولائحة جهات الاتصال الخاصة بالمستخدم في جهاز الهاتف. بل أيضا كثيرون يربطون حساب "كلوب هاوس" بحساب "تويتر" أو أي حساب منصة اجتماعية أخرى كـ "فيسبوك" وغيرها. ما يعني حصول منصة Clubhouse#  على جهات الاتصال للمستخدم على هذه المنصات.

بعد هذه التفاصيل أترك لكم الخيار لحماية بياناتكم وخصوصيتكم، حتى وإذا كنتم تعتقدون أن ليس لديكم شيئا لإخفائه.

نايلةالصليبي

الرسالة الإخباريةأبرز الأحداث الدولية صباح كل يوم