Video chat de seguridad: ¿quién está en tu Houseparty?

Publicado Actualizado
Cover image for: Video chat de seguridad: ¿quién está en tu Houseparty?

Las aplicaciones de video chat como Houseparty han visto un aumento significativo en los usuarios en los últimos meses, ya que las personas de todo el mundo pasan más tiempo en casa e interactúan más con sus amigos y colegas en línea. Cuando las empresas crecen tan rápido, su protección del usuario a menudo puede quedarse atrás. Las aplicaciones de comunicación de larga data que están integradas en plataformas, como WhatsApp, iMessage y FaceTime, tienden a ser robustas, ya que son utilizadas por miles de millones de usuarios, y como resultado han tenido muchos exámenes y pruebas.

Las plataformas de video más pequeñas y nuevas no se han examinado de esta manera y, últimamente, se ha cuestionado la seguridad del uso de algunas aplicaciones de video. Hemos escrito mucho antes sobre cómo las compañías recopilan legalmente sus datos , cómo mantenerse seguros en línea y los pasos a seguir si se violan sus cuentas . En esta publicación, voy a echar un breve vistazo a Houseparty, los riesgos que conlleva usarlo y lo que puede hacer en pasos simples para evitar compartir cualquier cosa que prefiera mantener en privado.

4 riesgos a los que se enfrentan todos los usuarios: robo de datos, uso compartido excesivo o seguimiento de datos y seguridad débil

En términos generales, existen cuatro riesgos que enfrentan los usuarios al usar aplicaciones de video como estas:

  1. Contenido inapropiado y controles parentales débiles.
  2. Robo de datos deliberado e ilegal directamente de la compañía de aplicaciones.
  3. Compartir o rastrear deliberadamente datos que son legales pero a menudo inesperados .
  4. Otras personas que acceden a su información personal por negligencia en la seguridad de la aplicación o piratas informáticos que se realizan como consecuencia de una seguridad de la aplicación débil.

Echemos un vistazo a la probabilidad de que ocurra cada uno de estos.

La página de inicio de Houseparty comercializa la aplicación como una red social, pero carece de las funciones de control parental que los usuarios pueden esperar razonablemente de una red social. El texto promocional de la aplicación en Play Store de Google lo describe como "realmente la mejor opción para pasar el rato en persona". Eso es casi cierto: para los niños que usan Houseparty, la aplicación es como pasar el rato en persona pero con una persona espeluznante que les hace preguntas sobre el sexo.

Al registrarse en Houseparty, todos los usuarios deben proporcionar su fecha de nacimiento, y la aplicación mantiene esa información a mano mientras se está ejecutando: envía la fecha de nacimiento del usuario a los productos de seguimiento que la aplicación usa regularmente. La característica más nueva de Houseparty, y el quid de sus planes de monetización , es una serie de cuestionarios integrados que no prestan atención a la edad del usuario.

Al elegir una prueba para jugar, a todos los usuarios se les muestra la misma lista de pruebas, con la prueba de más de 18 "Términos de jerga" que es la tercera en la lista, incluso para usuarios menores de edad. Nos mantenemos alejados del contenido para adultos en este blog, por lo que no entraremos en detalles, pero las pruebas incluyen una gama de contenido profundamente hostil para los niños, con temas que incluyen abreviaturas para frases profanas, lo que realmente sucede en los clubes de striptease, referencias de drogas de heroína a marihuana, y varias descripciones de sexo y genitales. Ah, y también hay contenido de Jeffrey Dahmer.

Playing Houseparty with an < 18 account (purple annotations ours), a mild example
Jugar Houseparty con una cuenta <18 (anotaciones moradas nuestras), un ejemplo moderado

La aplicación Houseparty está marcada en la App Store de Apple como adecuada para "12+" y la publicidad en la Play Store de Google es adecuada para "Teen" . La aplicación no tiene una funcionalidad integrada de control parental.

Muchos padres están justificadamente preocupados por lo que sus hijos están expuestos en línea y en aplicaciones, y varios sitios revisan aplicaciones y brindan esta guía. En el Reino Unido, Internet Matters , una organización sin fines de lucro, brinda dicho servicio con el respaldo de BT, Sky y otros. La organización actualmente está promoviendo fuertemente su orientación sobre Houseparty , explicando que el trabajo con la industria, el gobierno y las escuelas para proporcionar esta orientación.

Servicios como este son un recurso importante para los padres, pero en el caso de Internet Matters, parece que se ha realizado poca o ninguna diligencia debida. Sus consejos para los padres son extremadamente limitados, en gran medida se adhieren a una advertencia genérica sobre el peligro de los extraños en los videos, y termina con un llamado a la acción para que los padres descarguen la aplicación.

Internet Matters’ guidance for parents on Houseparty
Orientación de Internet Matters para padres en Houseparty

Una lectura rápida de los términos y condiciones de Houseparty llevaría a cualquier experto razonable a darse cuenta de que la aplicación no cumple con GDPR, carece de controles parentales y reclama los derechos para usar cualquier cosa que los usuarios compartan en la aplicación. Esto, junto con el contenido del cuestionario para mayores de 18 años, es importante para avisar a los padres. Internet Matters está perjudicando activamente a los padres preocupados de todo el mundo al proporcionar este contenido.

Internet Matters no es el único servicio que publica páginas tranquilizadoras en aplicaciones que no se han analizado adecuadamente, pero hemos elegido destacarlas porque, a partir del 2 de abril, todavía están invirtiendo en la promoción de contenido engañoso , a pesar de al menos un usuario que informa públicamente sus inquietudes

Internet Matters vs. a person who used Houseparty
Asuntos de Internet vs. una persona que usó Houseparty

Creemos que servicios como este deberían mostrar de manera destacada los pasos que toman al examinar aplicaciones, y agregar un claro descargo de responsabilidad donde la verificación ha sido superficial y realizada únicamente a partir de materiales de marketing y no una revisión de los términos o el producto en sí. Estos servicios deberían considerar retirar su contenido después de que los productos y servicios se hayan actualizado, hasta que el contenido pueda reflejar adecuadamente el estado actual de la aplicación. (La orientación de Internet Matters se actualizó por última vez el 24 de diciembre de 2019, pero Houseparty presentó cuestionarios unos 11 meses antes en enero de 2019).

Seguimiento, seguimiento, en todas partes ...

¿Qué pasa con el intercambio legal, pero inesperado, de datos personales? Houseparty tiene algunas cosas pasando aquí.

El riesgo de robo ilegal de datos es extremadamente bajo. La empresa matriz de Houseparty tiene modelos comerciales claros que no implican esto, y tienen su sede en un país con leyes de protección de datos decentes. Houseparty es propiedad de Epic Games . No hay evidencia que sugiera que robaría los datos de un usuario, y ser sorprendido hacerlo sería contraproducente.

Houseparty no es un producto pago, y su modelo de ingresos no está claro actualmente . Esa es una buena razón para desconfiar de lo que la aplicación podría estar rastreando. Sin embargo, tal como están las cosas, no hemos visto ninguna evidencia de que Houseparty haya sido pirateado o esté filtrando información.

Las anécdotas en Twitter no son suficientes ...

Hay muchos informes en Twitter de usuarios que afirman que sus cuentas bancarias fueron allanadas, a las cuentas de Spotify accedidas o correos electrónicos disponibles después de usar Houseparty, pero esos informes son anecdóticos y poco confiables. Muchas personas usan contraseñas fáciles de adivinar y son pirateadas todo el tiempo: Security Magazine cubrió un estudio de la Universidad de Maryland que sugiere que los piratas informáticos atacan cada 39 segundos, y los datos de Gemalto sugieren que se roban 291 registros cada segundo .

Para demostrar el punto: la seguridad de Apple es generalmente sólida como una roca, pero de vez en cuando todavía hay una sugerencia de que Apple ha sido pirateado ; es bastante fácil encontrar cualquier cantidad de bromas en Twitter alegando esto en cualquier momento. Las acusaciones anecdóticas no prueban haber actuado mal.

Mientras tanto, Houseparty afirma que un tercero está organizando una campaña de desprestigio contra ellos:

Houseparty también ha dicho :

Todas las cuentas de Houseparty son seguras: el servicio es seguro, nunca se ha visto comprometido y no recopila contraseñas para otros sitios

Hasta cierto punto, sin embargo, eso es un juego de palabras: cualquier producto razonable no recopilará ni almacenará contraseñas , sino que usará tokens de autenticación . Cuando los usuarios conectan sus cuentas de Houseparty con Facebook, Spotify o Snapchat, la aplicación Houseparty podrá acceder y potencialmente almacenar tokens de autenticación o de intercambio de datos para estas cuentas, y no hay indicios de si están almacenados o no. No hay nada intrínsecamente inusual en el almacenamiento de este tipo de tokens, pero todavía hay una pregunta importante: Houseparty sincroniza los contactos con Facebook únicamente al registrarse, o almacenan el token de autenticación para Facebook para que pueda sincronizar contactos u otros datos de la cuenta en ¿futuro? Su tweet no descarta esto.

El uso de datos y seguridad de Houseparty con más detalle

ESET miró la aplicación de Android de Houseparty y sugirió que se ve en general bien . Hemos analizado de manera similar la aplicación iOS de Houseparty y cómo almacena los datos, así como algunos de los contratos y la jerga legal relacionados con el servicio. Hemos destacado algunos hallazgos notables de la aplicación com.herzick.houseparty , como se llama:

  • Houseparty actualmente se integra con Facebook, tal como lo hizo Zoom. La integración implica compartir algunos datos de uso con Facebook. Aparentemente está ahí para permitir invitar a los amigos de Facebook, y el seguimiento es una consecuencia inevitable si los usuarios eligen conectarse con Facebook.
  • Houseparty almacena y almacena en caché las direcciones de alimentación para todo tipo de datos de configuración en dispositivos de usuario final. Por ejemplo, incluye el camino a todas las preguntas y respuestas para el juego de preguntas y respuestas "hecho curioso" de Houseparty. Parece que se deja en el teléfono de cada usuario, junto con un montón de otras fuentes.
  • La aplicación Houseparty almacena en caché algunos "Facemails" que reciben los usuarios. Se pueden encontrar en Library/Application Support/Prefetch-Facemails , y se almacenan en formato mp4 . (Si tiene curiosidad por buscarse a sí mismo, este documento debería ayudarlo).
  • Existe una cantidad razonable de información de seguimiento que se almacena sobre el teléfono de un usuario, muy probablemente para las huellas digitales del dispositivo. Al igual queNetflix, Houseparty almacena el agente de usuario de un dispositivo (es decir.Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148) pero también mantiene valores comobnc_device_fingerprint_id, que los ayuda a identificar dispositivos que utilizan el servicio a lo largo del tiempo.práctica generalizadaque Apple ha tomado medidas enérgicas en repetidas ocasiones, y Houseparty no parece estar usando lo recomendadoIDFA/ /IDFVidentificadores de seguimiento que proporciona Apple. ¡Presumiblemente porque reducen la efectividad del seguimiento!
  • Sorprendentemente, las copias de seguridad de la aplicación Houseparty incluyen una base de datos completa de registro / seguimiento de la aplicación. Eso solo incluye los datos propios del usuario, pero es realmente detallado e incluye todo tipo de datos granulares que no deberían estar en una copia de seguridad.

Sospechamos que Houseparty no pasaría por una auditoría de seguridad de terceros sin que al menos algunos de estos puntos estén marcados, por lo que el hecho de que estos continúen presentes en la versión actual de la aplicación nos pone nerviosos. La confirmación de que Houseparty ha llevado a cabo una auditoría de seguridad de terceros sería tranquilizadora.

Mirando la letra pequeña ...

Finalmente, volviendo a la política de privacidad y la jerga legal de Houseparty , vimos algunas cosas que no se sentían bien. En primer lugar, no existe una política de divulgación responsable. Ese sería un documento que describe cómo reacciona la empresa cuando un investigador de seguridad encuentra un problema. Por lo general, las políticas como esta incluyen una recompensa de seguridad para el buscador sobre la base de que revelan responsablemente el problema a la compañía para que el problema pueda solucionarse.

Al carecer de una política como esta, a los investigadores de seguridad generalmente se les deja que envíen correos electrónicos a los equipos de atención al cliente cuando encuentran problemas, y es notoriamente difícil comunicarse con el equipo de seguridad de la compañía para comunicarse con la atención al cliente. Si hubiéramos encontrado algo realmente terrible en la aplicación mientras buscamos, una política de divulgación nos habría dado un lugar para informar fácilmente lo que encontramos. (Como referencia, aquí está la política de divulgación de Reincubate ).

Parece realmente sorprendente que Houseparty ofrezca una recompensa de $ 1 millón (¡sin términos o condiciones claros!) Para encontrar evidencia de una campaña de desprestigio en su seguridad, pero no anunciar ninguna recompensa por la divulgación responsable de los problemas de seguridad en la plataforma .

Hay algunos aspectos preocupantes de los términos y condiciones de Houseparty: no se menciona en absoluto Safe Harbor / Privacy Shield o GDPR, lo que indica una actitud informal hacia la protección de los usuarios, y podría ponerlos en dificultades legales con los reguladores europeos de protección de datos. . Además, la falta de cumplimiento de GDPR también podría significar que las empresas que utilizan dichos servicios violan la legislación de Protección de Datos, lo que podría exponerlos a desafíos de sus propios clientes. Una indicación de que el RGPD no se ha considerado es que los usuarios solo pueden optar por no participar en el marketing, lo que constituye una violación de la legislación europea sobre el RGPD, que requiere que tales opciones sean de "inclusión voluntaria" en el momento del registro. Tampoco hay forma de darse de baja de otra recopilación de datos.

Los términos de Houseparty incluyen lo siguiente:

Usted acepta que Life on Air es libre de usar el contenido de cualquier comunicación enviada por usted a través de los Servicios, incluidas las ideas, inventos, conceptos, técnicas o conocimientos divulgados en el mismo, para cualquier propósito, incluido el desarrollo, la fabricación y / o comercialización de bienes o servicios

No somos abogados, pero eso parece plantear problemas de propiedad intelectual: si habla sobre su idea de negocio o producto, Houseparty sería libre de tomar cualquier cosa que usted discuta para desarrollar su propio producto o vender la información a un tercero. . También sugiere que el servicio puede retener parte del contenido del mensaje : de ser así, puede estar en contra de las leyes europeas sobre el monitoreo de las comunicaciones.

Sus términos también incluyen esta frase, que solicita a los usuarios que envíen un correo electrónico a Houseparty para optar por no recibir comunicaciones de marketing no solicitadas:

Las personas que nos brindan información personal, o cuya información personal obtenemos de terceros, pueden recibir correos electrónicos periódicos, boletines informativos, correos electrónicos, notificaciones automáticas o mensajes de texto de nuestra parte con información sobre nuestros productos y servicios o los de nuestros socios comerciales o próximas ofertas especiales. / eventos que creemos pueden ser de interés. Ofrecemos la opción de rechazar estas comunicaciones sin costo para la persona siguiendo las instrucciones en la Sección 5 a continuación.

Todos estos problemas de privacidad de Houseparty contrastan con las aplicaciones de mensajería establecidas, como FaceTime, iMessage, WhatsApp, Zoom y Slack. WhatsApp tiene un excelente conjunto de documentación y políticas sobre privacidad. Incluso Zoom afirma que "Zoom no supervisa ni utiliza el contenido del cliente por ningún motivo que no sea como parte de la prestación de nuestros servicios. Zoom no vende el contenido del cliente a nadie ni lo utiliza con fines publicitarios ". Slack deja en claro que solo usan los Datos del Cliente para proporcionar el servicio, y lo retienen de acuerdo con los deseos del cliente (por ejemplo, algunos planes de negocios proporcionan el archivo).

Qué hacer si le preocupa su seguridad

Si le preocupa mantenerse seguro en línea o usar Houseparty, le recomendamos que siga los siguientes pasos.

  • Desinstalar Houseparty no es suficiente para eliminar sus datos de su servicio. Su servicio aún puede almacenar su número de teléfono, nombre, lista de contactos cargada y tokens de autenticación. Sus términos sugieren ponerse en contacto con hello@houseparty.com para optar por no participar en marketing y que se eliminen sus datos. Curiosamente, el correo electrónico data-requests@lifeonair.com se cita más adelante, ¡pero no para solicitudes de datos!
  • Es posible usar Houseparty sin compartir mucho más que su número de teléfono. Las integraciones de Facebook, Snapchat y Spotify son opcionales, al igual que cargar su lista de contactos. Le recomendamos que evite hacer cualquiera de esas cosas y, en su lugar, agregue amigos manualmente.
  • Al ejecutar Houseparty, los usuarios deben tener en cuenta que los visitantes pueden ingresar a una habitación en cualquier momento. Se le notificará a otros usuarios que está en línea tan pronto como abra la aplicación. ¡Tener cuidado! De manera predeterminada, las habitaciones no están cerradas, lo que significa que cualquiera que haya agregado podría ingresar. ¡Hay todo tipo de tweets sobre usuarios que se sorprenden de que su jefe se detenga en su Houseparty mientras estaban en el baño! Puede cambiar esto en la configuración de Houseparty.
  • Al igual que con cualquier servicio en línea, recomendamos tomar una serie de precauciones simples para mantenerse seguro en línea. Resumimos estos al final de este artículo y presentamos consejos de seguridad completos para los usuarios de Apple aquí .

¿Podemos mejorar este artículo?

Nos encanta escuchar de los usuarios: ¿por qué no enviarnos un correo electrónico, dejar un comentario o tuitear? @reincubate?

© 2008 - 2020 Reincubate Ltd. Todos los derechos reservados. Registrado en Inglaterra y Gales #5189175, VAT GB151788978. Reincubate® y Camo® son marcas registradas. Política de privacidad & condiciones. Recomendamos la autenticación de múltiples factores. Construido con en Londres.