Sicurezza della chat video: chi c'è nel tuo Houseparty?

Pubblicato aggiornato
Cover image for: Sicurezza della chat video: chi c'è nel tuo Houseparty?

Le app di chat video come Houseparty e Zoom hanno visto un aumento significativo degli utenti negli ultimi mesi, poiché le persone in tutto il mondo trascorrono più tempo a casa e interagiscono di più con i loro amici e colleghi online. Quando le aziende crescono così rapidamente, la loro protezione degli utenti può spesso rimanere indietro. Le app di comunicazione di lunga data integrate in piattaforme come WhatsApp, iMessage e FaceTime tendono ad essere robuste, poiché vengono utilizzate da miliardi di utenti e, di conseguenza, hanno avuto molti esami e test.

Piattaforme video più piccole e più recenti non sono state esaminate in questo modo e, recentemente, la sicurezza dell'uso di alcune app video è stata messa in discussione. Abbiamo già scritto a lungo su come le aziende raccolgono legalmente i tuoi dati , su come rimanere online in sicurezza e sui passaggi da adottare in caso di violazione dei tuoi account . In questo post, darò una breve occhiata a Houseparty e Zoom, i rischi che derivano dal loro utilizzo e cosa puoi fare in semplici passaggi per evitare di condividere qualsiasi cosa tu preferisca mantenere privata.

4 rischi che devono affrontare tutti gli utenti: furto di dati, sovra-condivisione o tracciamento dei dati e scarsa sicurezza

In generale, ci sono quattro rischi che gli utenti devono affrontare dall'uso di app video come questi:

  1. Contenuto inappropriato e controllo parentale debole.
  2. Furto di dati deliberato - e illegale - direttamente dall'azienda app.
  3. Condivisione deliberata o tracciamento di dati legali ma spesso inattesi .
  4. Altre persone ottengono le tue informazioni personali per negligenza nella sicurezza delle app o hack che vengono eseguiti a causa della debolezza della sicurezza delle app.

Diamo un'occhiata alla probabilità che si verifichino questi eventi.

La homepage di Houseparty commercializza l'app come social network, ma manca delle funzioni di controllo parentale che gli utenti potrebbero ragionevolmente aspettarsi da un social network. Il testo promozionale dell'app sul Play Store di Google lo descrive come "veramente la cosa migliore per uscire di persona di persona". È quasi vero: per i bambini che usano Houseparty, l'app è come uscire di persona ma con una persona anziana inquietante che fa loro domande sul sesso.

Quando si registrano a Houseparty, tutti gli utenti devono fornire la loro data di nascita e l'app tiene prontamente a portata di mano tali informazioni mentre è in esecuzione: invia la data di nascita dell'utente ai prodotti di tracciamento che l'app utilizza regolarmente. La nuova funzione di Houseparty - e il punto cruciale dei loro piani di monetizzazione - è una serie di quiz integrati che non tengono conto dell'età dell'utente.

Quando si sceglie un quiz per giocare, a tutti gli utenti viene mostrato lo stesso elenco di quiz, con il 18+ quiz "Termini slang" che è il terzo nell'elenco - anche per gli utenti minorenni. Evitiamo i contenuti per adulti su questo blog, quindi non entreremo nei dettagli, ma i quiz includono una gamma di contenuti profondamente ostili ai bambini, con argomenti che includono abbreviazioni per frasi profane, cosa succede realmente negli strip club, riferimenti alle droghe dall'eroina alla marijuana e varie descrizioni di sesso e genitali. Oh, e c'è anche del contenuto di Jeffrey Dahmer.

Playing Houseparty with an < 18 account (purple annotations ours), a mild example
Giocare a Houseparty con un account <18 (le nostre annotazioni viola), un lieve esempio

L'app Houseparty è contrassegnata sull'App Store di Apple come adatta a "12+" e la pubblicità sul Play Store di Google come adatta a "Teen" . L'app non ha funzionalità integrate di controllo parentale.

Molti genitori sono giustamente preoccupati di ciò a cui i loro figli sono esposti online e nelle app, e un certo numero di siti rivede le app e fornisce questa guida. Nel Regno Unito, l' Internet Matters senza scopo di lucro fornisce un tale servizio con il sostegno di BT, Sky e altri. L'organizzazione sta attualmente promuovendo pesantemente la propria guida su Houseparty , spiegando che il lavoro con l'industria, il governo e le scuole per fornire questa guida.

Servizi come questo sono una risorsa importante per i genitori, ma nel caso di Internet Matters, sembra che sia stata fatta poca o nessuna diligenza. Il loro consiglio per i genitori è estremamente limitato, in gran parte legato a un avvertimento generico sul pericolo di estranei nei video, che termina con un invito all'azione per i genitori di scaricare l'app.

Internet Matters’ guidance for parents on Houseparty
Guida di Internet Matters per genitori su Houseparty

Una lettura superficiale dei termini e delle condizioni di Houseparty porterebbe qualsiasi esperto ragionevole a notare che l'app non è conforme al GDPR, manca di controllo parentale e rivendica i diritti di utilizzare qualsiasi cosa gli utenti condividano sull'app. Questo, insieme ai 18+ contenuti del quiz, è importante per segnalare ai genitori. Internet Matters sta attivamente facendo un disservizio ai genitori preoccupati di tutto il mondo fornendo questo contenuto.

Internet Matters non è l'unico servizio per pubblicare pagine rassicuranti su app che non sono state adeguatamente esaminate, ma abbiamo scelto di evidenziarle perché, dal 2 aprile, stanno ancora investendo nella promozione di contenuti fuorvianti , nonostante almeno un utente segnala pubblicamente dubbi.

Internet Matters vs. a person who used Houseparty
Internet Matters vs. una persona che ha usato Houseparty

Riteniamo che servizi come questo debbano mostrare in modo evidente i passi che prendono durante il controllo delle app e aggiungere un chiaro disclaimer in cui il controllo è stato superficiale e intrapreso esclusivamente da materiali di marketing e non revisione dei termini o del prodotto stesso. Questi servizi dovrebbero prendere in considerazione la possibilità di ritirare il loro contenuto dopo che i prodotti e i servizi sono stati aggiornati, fino a quando il contenuto può riflettere adeguatamente lo stato corrente dell'app. (La guida di Internet Matters è stata aggiornata l'ultima volta il 24 dicembre 2019, tuttavia Houseparty ha introdotto i quiz circa 11 mesi prima di gennaio 2019.)

Tracking, tracking, ovunque ...

Che dire della condivisione legale, ma inaspettata, di dati personali? Sia Zoom che Houseparty hanno alcune cose da fare qui. Lo zoom è un prodotto a pagamento e di solito è un buon segno che un'app potrebbe evitare il tracciamento invasivo degli utenti. Tuttavia, nel caso di Zoom questo è sbagliato: l'azienda ha una storia di decisioni sulla privacy curiose.

Il rischio di furto illegale di dati da queste app è estremamente basso. Queste aziende hanno chiari modelli di business che non lo implicano e hanno sede in paesi con leggi sulla protezione dei dati decenti. Houseparty è di proprietà di Epic Games e Zoom è una società pubblica statunitense con sede in California. Non ci sono prove che suggeriscano che entrambi i prodotti ruberebbero i dati di un utente e che essere scoperti sarebbe controproducente per queste aziende.

Fino alla settimana scorsa, Zoom includeva il codice di tracciamento di Facebook inutile e durante l'estate Apple è intervenuta per rimuovere forzatamente il server Web non sicuro che Zoom ha installato silenziosamente sul Mac di ogni utente , consentendo agli hacker di spiare gli utenti. L'atteggiamento di Zoom nei confronti della privacy e della sicurezza - e dei collegamenti con la Cina - sembra portarli a problemi nel Regno Unito: la scorsa settimana il Ministero della Difesa ha avvertito il governo britannico di non utilizzare il servizio per comunicazioni sicure. Lo zoom presenta ancora problemi di sicurezza .

Houseparty non è un prodotto a pagamento e il suo modello di entrate non è attualmente chiaro . Questa è una buona ragione per diffidare di ciò che l'app potrebbe monitorare. Allo stato attuale, tuttavia, non abbiamo visto alcuna prova che Houseparty sia stato violato o stiano perdendo informazioni.

Gli aneddoti su Twitter non sono sufficienti ...

Ci sono molti rapporti su Twitter di utenti che affermano che i loro conti bancari sono stati saccheggiati, a cui è stato effettuato l'accesso a account Spotify o a e-mail resi disponibili dopo l'utilizzo di Houseparty, ma tali rapporti sono tutti aneddotici e inaffidabili. Molte persone usano password facili da indovinare e vengono violate continuamente: Security Magazine ha trattato uno studio dell'Università del Maryland che suggerisce che gli hacker attaccano ogni 39 secondi, e i dati di Gemalto suggeriscono che 291 record vengono rubati ogni secondo .

Per dimostrare il punto: la sicurezza di Apple è generalmente solida, ma ogni tanto c'è ancora un suggerimento che Apple sia stata hackerata ; è abbastanza facile trovare un numero qualsiasi di pedivelle su Twitter che lo sostengano in qualsiasi momento. Le accuse aneddotiche non si rivelano illecite.

Nel frattempo, Houseparty afferma che una terza parte sta orchestrando una campagna diffamatoria contro di loro:

Houseparty ha anche detto :

Tutti gli account Houseparty sono sicuri: il servizio è sicuro, non è mai stato compromesso e non raccoglie password per altri siti

In una certa misura, tuttavia, questo è un gioco di parole: qualsiasi prodotto ragionevole non raccoglierà né memorizzerà le password , ma usano invece i token di autenticazione . Laddove gli utenti collegano i propri account Houseparty a Facebook, Spotify o Snapchat, l'app Houseparty sarà in grado di accedere e potenzialmente memorizzare i token di autenticazione o condivisione dei dati per questi account e non vi è alcuna indicazione se questi vengano archiviati o meno. Non c'è nulla di intrinsecamente insolito nella memorizzazione di questo tipo di token, ma c'è ancora una domanda importante: Houseparty sincronizza i contatti con Facebook solo al momento dell'iscrizione o memorizza il token di autenticazione per Facebook in modo che possa sincronizzare i contatti o altri dati dell'account in futuro? Il loro tweet non lo esclude.

La sicurezza di Houseparty e l'uso dei dati in modo più dettagliato

ESET ha esaminato l'app Android di Houseparty e ha suggerito che sembra ampiamente OK . Abbiamo analizzato in modo simile l'app iOS di Houseparty e il modo in cui memorizza i dati, nonché alcuni dei contratti e dei legali relativi al servizio. Abbiamo evidenziato alcuni importanti com.herzick.houseparty dell'app com.herzick.houseparty , come si chiama:

  • Houseparty attualmente si integra con Facebook, proprio come ha fatto Zoom. L'integrazione implica la condivisione di alcuni dati di utilizzo con Facebook, sebbene l'utilizzo di Facebook da parte di Houseparty sia più giustificabile di quello di Zoom. È apparentemente lì per consentire di invitare i propri amici di Facebook e il tracciamento è una conseguenza inevitabile se gli utenti scelgono di connettersi con Facebook.
  • Houseparty memorizza e memorizza nella cache gli indirizzi dei feed per tutti i tipi di dati di configurazione sui dispositivi degli utenti finali. Ad esempio, include il percorso a tutte le domande e risposte per il gioco a quiz "fatto divertente" di Houseparty. Sembra essere lasciato sul telefono di ogni utente, insieme a un sacco di altri feed.
  • L'app Houseparty memorizza nella cache alcune "e-mail" che gli utenti ricevono. Si possono trovare in Library/Application Support/Prefetch-Facemails e sono memorizzati in formato mp4 . (Se sei curioso di cercare te stesso, questo documento dovrebbe aiutare.)
  • Esiste una quantità ragionevole di informazioni di tracciamento che vengono memorizzate sul telefono di un utente, molto probabilmente per l'impronta digitale del dispositivo. Proprio comeNetflix, Houseparty memorizza l'agente utente di un dispositivo (ad es.Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148) ma mantiene anche valori comebnc_device_fingerprint_id, che li aiutano a identificare i dispositivi che utilizzano il servizio nel tempo L'impronta digitale del dispositivo è apratica pervasivache Apple ha ripetutamente represso, e Houseparty non sembra usare il raccomandatoIDFA/IDFVidentificatori di tracciamento forniti da Apple. Presumibilmente perché smussano l'efficacia del monitoraggio!
  • Sorprendentemente, i backup dell'app Houseparty includono un database di registrazione / tracciamento completo per l'app. Ciò include solo i dati di un utente, ma è davvero dettagliato e include tutti i tipi di dati granulari che non dovrebbero essere presenti in un backup.

Sospettiamo che Houseparty non possa superare un controllo di sicurezza di terze parti senza che almeno alcuni di questi punti vengano segnalati, quindi il fatto che questi continuino ad essere presenti nella versione corrente dell'app ci rende nervosi. La conferma che Houseparty abbia intrapreso un audit di sicurezza di terze parti sarebbe rassicurante.

Guardando la stampa fine ...

Infine, rivolgendoci alla politica sulla privacy e al legale di Houseparty, abbiamo visto alcune cose che non andavano bene. In primo luogo, non esiste una politica di divulgazione responsabile. Quello sarebbe un documento che descrive come la società reagisce come e quando un ricercatore di sicurezza trova un problema. Di solito, politiche come questa includono un premio di sicurezza per il cercatore sulla base del fatto che rivelano responsabilmente il problema all'azienda in modo che il problema possa essere risolto.

In mancanza di una politica come questa, i ricercatori addetti alla sicurezza di solito sono tenuti a inviare un'e-mail ai team dell'assistenza clienti quando riscontrano problemi ed è notoriamente difficile contattare l'assistenza clienti per contattare il team addetto alla sicurezza di un'azienda. Se avessimo trovato qualcosa di veramente terribile nell'app mentre guardavamo, una politica di divulgazione ci avrebbe dato un posto per segnalare facilmente ciò che abbiamo trovato. (Per riferimento, ecco la politica di divulgazione di Reincubate .)

Sembra davvero sorprendente che Houseparty offrirebbe una taglia di $ 1 milione (senza termini o condizioni chiari!) Per trovare prove di una campagna diffamatoria sulla loro sicurezza, ma non pubblicizzare alcun premio per la divulgazione responsabile dei problemi di sicurezza nella piattaforma .

Vi sono alcuni aspetti riguardanti i termini e le condizioni di Houseparty: non si fa assolutamente menzione di Safe Harbor / Privacy Shield o GDPR, che indica un atteggiamento casuale nei confronti della protezione degli utenti e potrebbe potenzialmente metterli in difficoltà legali con i regolatori europei della protezione dei dati . Inoltre, la mancanza di conformità al GDPR potrebbe anche significare che le aziende che utilizzano tali servizi violano la legislazione sulla protezione dei dati, il che potrebbe esporli alle sfide dei propri clienti. Un'indicazione che il GDPR non è stato preso in considerazione è che gli utenti possono solo scegliere di rinunciare al marketing - questo è in violazione della legislazione europea sul GDPR, che richiede che tali opzioni siano “opt-in” al momento dell'iscrizione. Inoltre, non è possibile annullare la raccolta di altri dati.

I termini di Houseparty includono quanto segue:

Accetti che Life on Air sia libero di utilizzare il contenuto di tutte le comunicazioni da te inviate tramite i Servizi, incluse idee, invenzioni, concetti, tecniche o know-how ivi divulgati, per qualsiasi scopo incluso lo sviluppo, la produzione e / o commercializzare beni o servizi

Non siamo avvocati, ma questo sembra sollevare problemi di proprietà intellettuale: se parli della tua idea o prodotto commerciale, Houseparty sarebbe libero di prendere qualsiasi cosa da te discussa per sviluppare il proprio prodotto o vendere le informazioni a terzi . Suggerisce inoltre che il servizio potrebbe conservare alcuni contenuti dei messaggi : in tal caso, potrebbe non essere conforme alle leggi europee in materia di monitoraggio delle comunicazioni.

I loro termini includono anche questa frase, che richiede agli utenti di inviare un'e-mail a Houseparty al fine di annullare le comunicazioni di marketing indesiderate:

Le persone che ci forniscono informazioni personali o le cui informazioni personali otteniamo da terzi, possono ricevere periodicamente e-mail, newsletter, mailing, notifiche push o messaggi di testo con informazioni sui nostri prodotti o servizi dei nostri partner commerciali o offerte speciali imminenti / eventi che riteniamo possano essere di interesse. Offriamo la possibilità di rifiutare queste comunicazioni senza alcun costo per l'individuo seguendo le istruzioni nella Sezione 5 di seguito.

Tutti questi problemi di privacy di Houseparty sono in netto contrasto con le app di messaggistica consolidate, come FaceTime, iMessage, WhatsApp, Zoom e Slack. WhatsApp ha un eccellente set di documentazione e politiche sulla privacy. Persino Zoom afferma che “Zoom non monitora né utilizza i contenuti dei clienti per nessun motivo se non nell'ambito della fornitura dei nostri servizi. Zoom non vende i contenuti dei clienti a nessuno o li utilizza per scopi pubblicitari ”. Slack chiarisce che utilizzano i dati dei clienti solo per fornire il servizio e li conservano secondo i desideri del cliente (ad esempio alcuni piani aziendali prevedono l'archiviazione).

Cosa fare se sei preoccupato per la tua sicurezza

Se sei preoccupato di proteggerti online o di utilizzare Houseparty, ti consigliamo di seguire i seguenti passaggi.

  • Disinstallare Houseparty non è sufficiente per rimuovere i tuoi dati dal loro servizio. Il loro servizio può comunque memorizzare il numero di telefono, il nome, l'elenco di contatti caricato e i token di autenticazione. I loro termini suggeriscono di contattare hello@houseparty.com per rinunciare al marketing e per rimuovere i propri dati. Stranamente, l'e - mail data-requests@lifeonair.com viene citata in seguito, ma non per le richieste di dati!
  • È possibile utilizzare Houseparty senza condividere molto altro che il tuo numero di telefono. Le integrazioni di Facebook, Snapchat e Spotify sono tutte opzionali, così come il caricamento del tuo elenco di contatti. Ti consigliamo di evitare di fare una qualsiasi di queste cose e di aggiungere invece amici manualmente.
  • Durante l'esecuzione di Houseparty, gli utenti devono essere consapevoli che i visitatori possono entrare in una stanza in qualsiasi momento. Gli altri utenti riceveranno una notifica quando sei online non appena apri l'app. Attenzione! Per impostazione predefinita, le stanze non sono bloccate, il che significa che chiunque abbia aggiunto potrebbe entrare. Ci sono tutti i tipi di tweet che riguardano gli utenti che sono sorpresi dal fatto che il loro capo salti sul loro Houseparty mentre erano nella vasca da bagno! Puoi cambiarlo nelle impostazioni di Houseparty.
  • Come con qualsiasi servizio online, ti consigliamo di prendere una semplice serie di precauzioni per rimanere al sicuro online. Riassumiamo questi alla fine di questo articolo e qui forniamo suggerimenti di sicurezza completi per gli utenti Apple .

Possiamo migliorare questo articolo?

Ci piace ascoltare gli utenti: perché non mandarci un'email, lasciare un commento o twittare @reincubate?

© 2008 - 2020 Reincubate Ltd. Tutti i diritti riservati. Registrato in Inghilterra e Galles #5189175, VAT GB151788978. Reincubate® è un marchio registrato. Politica sulla riservatezza & condizioni. Raccomandiamo 2FA. Costruito con a Londra.