Sécurité du chat vidéo: qui est dans votre Houseparty?
Les applications de chat vidéo telles que Houseparty ont vu une augmentation significative du nombre d'utilisateurs au cours des derniers mois, car les gens du monde entier passent plus de temps à la maison et interagissent davantage avec leurs amis et collègues en ligne. Lorsque les entreprises se développent rapidement, leur protection des utilisateurs peut souvent prendre du retard. Les applications de communication de longue date intégrées aux plates-formes, telles que WhatsApp, iMessage et FaceTime ont tendance à être robustes, car elles sont utilisées par des milliards d'utilisateurs, et ont donc fait l'objet de nombreux examens et tests.
Les plates-formes vidéo plus petites et plus récentes n'ont pas été examinées de cette manière, et, récemment, la sécurité de l'utilisation de certaines applications vidéo a été remise en question. Nous avons longuement écrit sur la façon dont les entreprises collectent légalement vos données , comment rester en sécurité en ligne et les mesures à prendre en cas de violation de vos comptes . Dans cet article, je vais jeter un bref coup d'œil à Houseparty, aux risques qui accompagnent son utilisation et à ce que vous pouvez faire en quelques étapes simples pour éviter de partager tout ce que vous préférez garder privé.
4 risques auxquels tous les utilisateurs sont confrontés: vol de données, partage excessif ou suivi des données, et faible sécurité
De manière générale, les utilisateurs sont confrontés à quatre risques en utilisant des applications vidéo telles que celles-ci:
- Contenu inapproprié et contrôles parentaux faibles.
- Vol de données délibéré - et illégal - directement auprès de la société de l'application.
- Partage ou suivi délibéré de données légales mais souvent inattendues .
- D'autres personnes accèdent à vos informations personnelles par négligence dans la sécurité des applications ou par des piratages qui sont effectués en raison d'une faible sécurité des applications.
Jetons un coup d'œil à la probabilité de chacun de ces événements.
La page d'accueil de Houseparty commercialise l'application en tant que réseau social, mais ne dispose pas des fonctions de contrôle parental que les utilisateurs peuvent raisonnablement attendre d'un réseau social. Le texte promotionnel de l'application sur le Google Play Store la décrit comme «vraiment la meilleure chose à faire en personne». C'est presque vrai: pour les enfants utilisant Houseparty, l'application est comme passer du temps en personne, mais avec une personne âgée effrayante qui leur pose des questions sur le sexe.
Lors de votre inscription à Houseparty, tous les utilisateurs doivent fournir leur date de naissance, et l'application garde ces informations à portée de main pendant son fonctionnement: elle envoie la date de naissance de l'utilisateur aux produits de suivi que l'application utilise régulièrement. La nouvelle fonctionnalité de Houseparty - et le nœud de leurs plans de monétisation - est une série de quiz intégrés qui ne prêtent aucune attention à l'âge de l'utilisateur.
Lors du choix d'un quiz à jouer, tous les utilisateurs reçoivent la même liste de quiz, les 18+ «termes d'argot» étant le troisième de la liste - même pour les utilisateurs mineurs. Nous évitons le contenu pour adultes sur ce blog, donc nous n'entrerons pas dans les détails, mais les quiz incluent une gamme de contenu profondément hostile aux enfants, avec des sujets comprenant des abréviations pour des phrases profanes, ce qui se passe vraiment dans les clubs de striptease, les références aux drogues. de l'héroïne à la marijuana, et diverses descriptions du sexe et des organes génitaux. Oh, et il y a aussi du contenu de Jeffrey Dahmer.
L'application Houseparty est marquée sur l'App Store d'Apple comme étant adaptée à «12+» et la publicité sur le Play Store de Google comme étant adaptée à «Teen» . L'application n'a pas de fonctionnalité de contrôle parental intégrée.
De nombreux parents sont à juste titre préoccupés par ce à quoi leurs enfants sont exposés en ligne et dans les applications, et un certain nombre de sites examinent les applications et fournissent ces conseils. Au Royaume-Uni, l' Internet Matters à but non lucratif fournit un tel service avec le soutien de BT, Sky et autres. L'organisation fait actuellement la promotion de leurs conseils sur Houseparty , expliquant que le travail avec l'industrie, le gouvernement et les écoles pour fournir ces conseils.
Des services comme celui-ci sont une ressource importante pour les parents, mais dans le cas d'Internet Matters, il semble que peu ou pas de diligence raisonnable ait été faite. Leurs conseils aux parents sont extrêmement limités, s'en tenant largement à un avertissement générique sur le danger des étrangers dans les vidéos, se terminant par un appel à l'action pour que les parents téléchargent l'application.
Une lecture rapide des conditions générales de Houseparty conduirait tout expert raisonnable à remarquer que l'application n'est pas conforme au RGPD, manque de contrôle parental et revendique le droit d'utiliser tout ce que les utilisateurs partagent sur l'application. Cela - avec le contenu du quiz 18+ - est important de signaler aux parents. Internet Matters rend activement service aux parents concernés du monde entier en fournissant ce contenu.
Internet Matters n'est pas le seul service à publier des pages rassurantes sur des applications qui n'ont pas été examinées de manière adéquate, mais nous avons choisi de les mettre en évidence car, depuis le 2 avril, elles investissent toujours dans la promotion de contenu trompeur , malgré au moins un utilisateur a signalé publiquement ses préoccupations.
Nous pensons que des services comme celui-ci devraient afficher en évidence les étapes qu'ils prennent lors de la vérification des applications, et ajouter une clause de non-responsabilité claire lorsque la vérification a été superficielle et réalisée uniquement à partir de documents marketing et non de révision des conditions ou du produit lui-même. Ces services devraient envisager de retirer leur contenu après la mise à jour des produits et services, jusqu'à ce que le contenu puisse refléter correctement l'état actuel de l'application. (Les conseils d'Internet Matters ont été mis à jour pour la dernière fois le 24 décembre 2019, mais Houseparty a introduit des questionnaires quelque 11 mois auparavant en janvier 2019.)
Suivi, suivi, partout ...
Qu'en est-il du partage légal - mais inattendu - des données personnelles? Houseparty a des choses qui se passent ici.
Le risque de vol illégal de données est extrêmement faible. La société mère de Houseparty a des modèles commerciaux clairs qui n'impliquent pas cela, et ils ont leur siège social dans un pays avec des lois de protection des données décentes. Houseparty appartient à Epic Games . Il n'y a aucune preuve suggérant que cela volerait les données d'un utilisateur, et être surpris à le faire serait contre-productif pour cela.
Houseparty n'est pas un produit payant et son modèle de revenus n'est pas clair actuellement . C'est une bonne raison de se méfier de ce que l'application pourrait suivre. Dans l'état actuel des choses, cependant, nous n'avons vu aucune preuve que Houseparty a été piraté ou divulgue des informations.
Les anecdotes sur Twitter ne suffisent pas ...
Il existe de nombreux rapports sur Twitter d'utilisateurs affirmant que leurs comptes bancaires ont été pillés, que des comptes Spotify ont été consultés ou que des e-mails ont été mis à disposition après avoir utilisé Houseparty, mais ces rapports sont tous anecdotiques et peu fiables. Beaucoup de gens utilisent des mots de passe faciles à deviner et se font pirater tout le temps: Security Magazine a couvert une étude de l'Université du Maryland suggérant que les pirates attaquent toutes les 39 secondes, et les données de Gemalto suggèrent que 291 enregistrements sont volés chaque seconde .
Pour démontrer le point: la sécurité d'Apple est généralement solide, mais de temps en temps il y a toujours une suggestion que Apple a été piraté ; il est assez facile de trouver n'importe quel nombre de manivelles sur Twitter alléguant cela à tout moment. Les accusations anecdotiques ne prouvent pas un acte répréhensible.
Dans l'intervalle, Houseparty affirme qu'un tiers orchestre une campagne de diffamation contre eux:
Nous enquêtons sur des indications selon lesquelles les récentes rumeurs de piratage auraient été propagées par une campagne de diffamation commerciale rémunérée pour nuire à Houseparty. Nous offrons une prime de 1 000 000 $ à la première personne à fournir la preuve d'une telle campagne à bounty@houseparty.com.
- Houseparty (@houseparty) 31 mars 2020
Houseparty a également déclaré :
Tous les comptes Houseparty sont sécurisés - le service est sécurisé, n'a jamais été compromis et ne recueille pas de mots de passe pour d'autres sites
Dans une certaine mesure, cependant, c'est un jeu de mots: tout produit raisonnable ne collectera ni ne stockera de mots de passe , il utilise à la place des jetons d'authentification . Lorsque les utilisateurs connectent leurs comptes Houseparty à Facebook, Spotify ou Snapchat, l'application Houseparty pourra accéder et éventuellement stocker des jetons d'authentification ou de partage de données pour ces comptes, et rien n'indique s'ils sont stockés ou non. Il n'y a rien d' intrinsèquement inhabituel dans le stockage de ces types de jetons, mais il reste une question importante: Houseparty synchronise-t-il les contacts avec Facebook uniquement lors de l'inscription, ou stocke-t-il le jeton d'authentification pour Facebook afin qu'il puisse synchroniser les contacts ou d'autres données de compte dans avenir? Leur tweet n'exclut pas cela.
La sécurité et l'utilisation des données de Houseparty plus en détail
ESET a examiné l'application Android de Houseparty et a suggéré qu'elle semblait globalement OK . Nous avons examiné de manière similaire l'application iOS de Houseparty et la façon dont elle stocke les données, ainsi que certains des contrats et des mentions légales autour du service. Nous avons mis en évidence quelques découvertes notables de l'application com.herzick.houseparty
, comme on l'appelle:
- Houseparty s'intègre actuellement à Facebook, tout comme Zoom. L'intégration implique le partage de certaines données d'utilisation avec Facebook. Il est apparemment là pour permettre d'inviter ses amis Facebook, et le suivi est une conséquence inévitable si les utilisateurs choisissent de se connecter avec Facebook.
- Houseparty stocke et met en cache les adresses de flux pour toutes sortes de données de configuration sur les appareils des utilisateurs finaux. Par exemple, il comprend le chemin d'accès à toutes les questions et réponses pour le jeu-questionnaire «Fait amusant» de Houseparty. Il semble être laissé sur le téléphone de chaque utilisateur, avec un tas d'autres flux.
- L'application Houseparty met en cache certains «Facemails» que les utilisateurs reçoivent. Ils peuvent être trouvés dans
Library/Application Support/Prefetch-Facemails
, et ils sont stockés au formatmp4
. (Si vous êtes curieux de chercher par vous-même, ce document devrait vous aider.) - Il existe une quantité raisonnable d'informations de suivi stockées sur le téléphone d'un utilisateur, très probablement pour les empreintes digitales de l'appareil. Juste commeNetflix, Houseparty stocke l'agent utilisateur d'un appareil (par ex.
Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148
) mais conserve également des valeurs telles quebnc_device_fingerprint_id
, ce qui les aide à identifier les appareils utilisant le service au fil du temps.pratique omniprésentequ'Apple a réprimé à plusieurs reprises, et Houseparty ne semble pas utiliser les recommandationsIDFA
/IDFV
les identifiants de suivi fournis par Apple. Vraisemblablement parce qu'ils émoussent l'efficacité du suivi! - Étonnamment, les sauvegardes de l'application Houseparty incluent une base de données complète de journalisation / suivi pour l'application. Cela ne comprend que les propres données d'un utilisateur, mais elles sont vraiment détaillées et incluent toutes sortes de données granulaires qui ne devraient pas figurer dans une sauvegarde.
Nous pensons que Houseparty ne passerait pas un audit de sécurité tiers sans qu'au moins certains de ces points soient signalés, donc le fait que ceux-ci continuent d'être présents dans la version actuelle de l'application nous rend nerveux. La confirmation que Houseparty a entrepris un audit de sécurité par un tiers serait rassurante.
En regardant les petits caractères ...
Enfin, en ce qui concerne la politique de confidentialité et les termes juridiques de Houseparty, nous avons vu quelques choses qui ne se sont pas bien passées. Premièrement, il n'y a pas de politique de divulgation responsable. Ce serait un document qui décrit comment l'entreprise réagit au fur et à mesure qu'un chercheur en sécurité trouve un problème. Habituellement, des politiques comme celle-ci incluent une prime de sécurité pour le chercheur sur la base de la divulgation responsable du problème à l'entreprise afin que le problème puisse être résolu.
Faute d'une politique comme celle-ci, les chercheurs en sécurité sont généralement laissés par e-mail aux équipes de service client lorsqu'ils trouvent des problèmes, et il est notoirement difficile de contacter le service client pour prendre contact avec l'équipe de sécurité d'une entreprise. Si nous avions trouvé quelque chose de vraiment terrible dans l'application pendant la recherche, une politique de divulgation nous aurait donné un endroit pour signaler facilement ce que nous avons trouvé. (Pour référence, voici la politique de divulgation de Reincubate .)
Il semble vraiment étonnant que Houseparty offre une prime de 1 million de dollars (sans termes ou conditions clairs!) Pour trouver des preuves d'une campagne de diffamation sur leur sécurité, mais n'annonce aucune récompense pour une divulgation responsable des problèmes de sécurité dans la plate-forme .
Il y a certains aspects concernant les termes et conditions de Houseparty: il n'y a aucune mention de Safe Harbor / Privacy Shield ou RGPD, qui indique une attitude désinvolte envers la protection des utilisateurs, et pourrait potentiellement les mettre en difficulté avec les régulateurs européens de la protection des données . En outre, le non-respect du RGPD pourrait également signifier que les entreprises utilisant ces services sont elles-mêmes en violation de la législation sur la protection des données, ce qui pourrait les exposer aux défis de leurs propres clients. Une indication que le RGPD n'a pas été pris en compte est que les utilisateurs peuvent uniquement choisir de se retirer du marketing - ce qui est contraire à la législation européenne du RGPD, qui exige que ces options soient «acceptées» au moment de l'inscription. Il n'y a également aucun moyen de refuser d'autres collectes de données.
Les termes de Houseparty sont les suivants:
Vous acceptez que Life on Air soit libre d'utiliser le contenu de toute communication que vous soumettez via les Services, y compris toutes idées, inventions, concepts, techniques ou savoir-faire qui y sont divulgués, à toutes fins, y compris le développement, la fabrication et / ou commercialisation de biens ou de services
Nous ne sommes pas des avocats, mais cela semble soulever des problèmes de propriété intellectuelle: si vous parlez de votre idée d'entreprise ou de votre produit, Houseparty serait libre de prendre tout ce que vous discutez pour développer son propre produit ou vendre les informations à un tiers. . Cela suggère également que le service peut conserver un certain contenu de message : dans l'affirmative, il peut tomber en infraction avec les lois européennes concernant la surveillance des communications.
Leurs termes incluent également cette phrase, qui invite les utilisateurs à envoyer un courriel à Houseparty afin de refuser les communications marketing non sollicitées:
Les personnes qui nous fournissent des informations personnelles, ou dont nous obtenons des informations personnelles de tiers, peuvent recevoir régulièrement des e-mails, des newsletters, des mailings, des notifications push ou des messages texte de notre part contenant des informations sur nos produits et services ou ceux de nos partenaires commerciaux ou des offres spéciales à venir / événements qui, selon nous, pourraient être intéressants. Nous offrons la possibilité de refuser ces communications sans frais pour la personne en suivant les instructions de la section 5 ci-dessous.
Tous ces problèmes de confidentialité Houseparty contrastent fortement avec les applications de messagerie établies, telles que FaceTime, iMessage, WhatsApp, Zoom et Slack. WhatsApp dispose d'un excellent ensemble de documentation et de politiques sur la confidentialité. Même Zoom déclare que «Zoom ne surveille ni n'utilise le contenu client pour une raison autre que dans le cadre de la fourniture de nos services. Zoom ne vend pas de contenu client à quiconque ni ne l'utilise à des fins publicitaires ». Slack indique clairement qu'ils n'utilisent les données client que pour fournir le service et les conservent conformément aux souhaits du client (par exemple, certains plans commerciaux prévoient l'archivage).
Que faire si vous vous souciez de votre sécurité
Si vous souhaitez vous protéger en ligne ou utiliser Houseparty, nous vous recommandons de prendre les mesures suivantes.
- Désinstaller Houseparty ne suffit pas pour supprimer vos données de leur service. Leur service peut toujours stocker votre numéro de téléphone, votre nom, votre liste de contacts téléchargée et vos jetons d'authentification. Leurs conditions suggèrent de contacter hello@houseparty.com pour se retirer du marketing et faire supprimer vos informations. Curieusement, l'e-mail data-requests@lifeonair.com est cité plus loin, mais pas pour les demandes de données!
- Il est possible d'utiliser Houseparty sans partager autre chose que votre numéro de téléphone. Les intégrations Facebook, Snapchat et Spotify sont toutes facultatives, tout comme le téléchargement de votre liste de contacts. Nous vous recommandons d'éviter de faire l'une de ces choses et d'ajouter des amis manuellement.
- Lors de l'exécution de Houseparty, les utilisateurs doivent savoir que les visiteurs peuvent se rendre dans une pièce à tout moment. Les autres utilisateurs seront informés que vous êtes en ligne dès que vous ouvrez l'application. Il faut se méfier! Par défaut, les chambres ne sont pas verrouillées, ce qui signifie que toute personne qui a ajouté pourrait y entrer. Il y a toutes sortes de tweets sur les utilisateurs surpris par leur patron tombant sur leur Houseparty alors qu'ils étaient dans le bain! Vous pouvez changer cela dans les paramètres de Houseparty.
- Comme pour tout service en ligne, nous vous recommandons de prendre un ensemble simple de précautions pour rester en sécurité en ligne. Nous les résumons à la fin de cet article et nous proposons ici des conseils de sécurité complets pour les utilisateurs d'Apple .