화상 채팅 보안 : 누가 하우스 파티에 있습니까?

게시 됨 업데이트 됨
Cover image for: 화상 채팅 보안 : 누가 하우스 파티에 있습니까?

Houseparty 및 Zoom과 같은 화상 채팅 앱은 전 세계 사람들이 집에서 더 많은 시간을 보내고 온라인에서 친구 및 동료와 더 많은 시간을 보내면서 지난 몇 개월 동안 사용자 수가 크게 증가한 것으로 나타났습니다. 기업이 빠르게 성장하면 사용자 보호가 뒤처 질 수 있습니다. WhatsApp, iMessage 및 FaceTime과 같은 플랫폼에 내장 된 오랜 통신 앱은 수십억 명의 사용자가 사용하고 있기 때문에 강력한 테스트를 거쳤으며 그 결과 많은 검사와 테스트를 거쳤습니다.

더 작고 새로운 비디오 플랫폼은 이러한 방식으로 검토되지 않았으며 최근에는 일부 비디오 앱을 사용하는 안전성에 대한 의문이 제기되었습니다. 우리는 회사가 합법적으로 데이터를 수집 하는 방법 , 온라인 보안을 유지하는 방법계정이 위반 될 경우 취해야 할 조치대해 오래 전부터 글을 썼습니다. 이 게시물에서는 Houseparty 및 Zoom, 사용시 발생할 수있는 위험 및 개인이 유지하려는 모든 것을 공유하지 않기 위해 간단한 단계로 수행 할 수있는 작업에 대해 간략하게 살펴 보겠습니다.

모든 사용자가 직면하는 4 가지 위험 : 데이터 도난, 데이터 공유 또는 추적, 취약한 보안

일반적으로 사용자가 다음과 같은 비디오 앱을 사용할 때 직면 할 수있는 네 가지 위험이 있습니다.

  1. 부적절한 콘텐츠 및 취약한 자녀 보호 기능.
  2. 앱 회사에서 직접 고의적이고 불법적 인 데이터 도난.
  3. 합법적이지만 종종 예기치 않은 데이터를 의도적으로 공유하거나 추적합니다.
  4. 다른 사람은 앱 보안의 과실 또는 앱 보안 약화의 결과로 수행되는 해킹을 통해 개인 정보를 얻는 것입니다.

각각의 발생 가능성을 살펴 보겠습니다.

Houseparty의 홈페이지는 앱을 소셜 네트워크로 판매하지만 사용자가 소셜 네트워크에서 합리적으로 기대할 수있는 자녀 보호 기능이 없습니다. Google Play 스토어의 앱 홍보 문구 에서는이 앱을“직접 만나는 다음으로 가장 좋은 것”이라고 설명합니다. Houseparty를 사용하는 어린이의 경우 앱이 직접 만나는 것처럼 보이지만 소름 끼치는 노인이 섹스에 대해 질문합니다.

Houseparty에 가입 할 때 모든 사용자는 생년월일을 제공해야하며, 앱은 실행되는 동안 해당 정보를 쉽게 전달할 수 있습니다. 사용자의 생년월일은 앱이 정기적으로 사용하는 추적 제품에 사용자의 생년월일을 보냅니다. Houseparty의 최신 기능 및 수익 창출 계획핵심은 사용자 연령에주의를 기울이지 않는 일련의 통합 퀴즈입니다.

재생할 퀴즈를 선택할 때 모든 사용자에게 동일한 퀴즈 목록이 표시되며 18 세 이상의 "속어"퀴즈는 미성년자 인 경우에도 목록에서 세 번째입니다. 우리는이 블로그에서 성인용 콘텐츠를 사용하지 않기 때문에 구체적인 내용은 다루지 않지만 퀴즈에는 심오한 문구에 대한 약어, 스트립 클럽에서 실제로 일어나는 일, 약물 참조 등 주제가 포함 된 다양한 아동 비우호적 콘텐츠가 포함됩니다. 헤로인부터 마리화나까지, 성 및 생식기에 대한 다양한 묘사. 그리고 Jeffrey Dahmer 컨텐츠도 있습니다.

Playing Houseparty with an < 18 account (purple annotations ours), a mild example
<18 개의 계정 (보라색 주석)으로 Houseparty 재생, 간단한 예

Houseparty 앱은 Apple의 App Store 에 "12+"에 적합 하고 Google Play Store 에 "Teen"적합하다고 광고되어 있습니다. 이 앱에는 자녀 보호 기능이 통합되어 있지 않습니다.

많은 부모들이 자녀가 온라인 및 앱에 노출되는 것에 대해 정당하게 우려하고 있으며, 많은 사이트에서 앱을 검토하고이 지침을 제공합니다. 영국에서 비영리 인터넷 문제 는 BT, Sky 등의 지원을 통해 이러한 서비스를 제공합니다. 조직은 현재 Houseparty에 대한 지침을 심하게 홍보하고 있으며이 지침 을 제공하기 위해 산업, 정부 및 학교와의 협력에 대해 설명합니다.

이와 같은 서비스는 부모에게 중요한 자원이지만 인터넷 문제의 경우 실사가 거의 또는 전혀 이루어지지 않은 것으로 보입니다. 부모에 대한 조언은 극도로 제한되어 있으며 동영상의 낯선 위험에 대한 일반적인 경고를 고수하고 부모가 앱을 다운로드하도록 요구하는 행동으로 끝납니다.

Internet Matters’ guidance for parents on Houseparty
하원의 부모를위한 인터넷 문제 지침

Houseparty 이용 약관을 자세히 읽게되면 합리적인 전문가가 앱이 GDPR을 준수하지 않으며, 자녀 보호 기능이 없으며, 사용자가 앱에서 공유하는 모든 것을 사용할 수있는 권리를 주장한다는 사실을 알게 될 것입니다. 18 세 이상의 퀴즈 내용과 함께 이것은 부모에게 알리는 데 중요합니다. Internet Matters는이 컨텐츠를 제공함으로써 전 세계의 관심있는 부모들에게 적극적으로 장애를 겪고 있습니다.

Internet Matters는 충분히 면밀히 조사되지 않은 앱에 안심 페이지를 게시하는 유일한 서비스는 아니지만, 4 월 2 일부터는 오해의 소지가있는 콘텐츠를 홍보하는 데 여전히 투자 하고 있기 때문에 강조 표시 하기로했습니다. 한 명의 사용자가 공개적으로 우려 사항을보고합니다.

Internet Matters vs. a person who used Houseparty
인터넷 문제 대 Houseparty를 사용한 사람

Google은 이와 같은 서비스가 앱을 심사 할 때 취한 단계를 눈에 띄게 표시해야하며, 마케팅 자료만으로 피상적이며 피상적 행위를 한 경우에는 용어 나 제품 자체를 검토하지 않는 명확한 면책 조항을 추가해야합니다. 이러한 서비스는 콘텐츠가 앱의 현재 상태를 적절히 반영 할 수있을 때까지 제품 및 서비스가 업데이트 된 후 콘텐츠를 철회하는 것을 고려해야합니다. (Internet Matters의 지침은 2019 년 12 월 24 일에 마지막으로 업데이트되었지만 Houseparty는 2019 년 1 월 약 11 개월 전에 퀴즈를 발표했습니다.)

어디에서나 추적, 추적 ...

개인 데이터의 합법적이지만 예기치 않은 공유는 어떻습니까? Zoom과 Houseparty는 여기에 몇 가지 일이 있습니다. Zoom은 유료 제품이며 일반적으로 앱이 사용자의 침입을 피할 수 있다는 좋은 신호입니다. 그러나 Zoom의 경우에는 잘못되었습니다. 회사는 호기심 많은 개인 정보 결정에 대한 기록을 가지고 있습니다.

이러한 앱에서 불법적 인 데이터 도난 위험이 매우 낮습니다. 이러한 회사에는 이와 관련이없는 명확한 비즈니스 모델이 있으며 적절한 데이터 보호법이 적용되는 국가에 본사가 있습니다. Houseparty는 Epic Games의 소유 이며 Zoom은 캘리포니아 기반의 미국 공공 회사 입니다. 두 제품 중 하나가 사용자의 데이터를 훔쳐서이를 잡는 것이 이들 회사에게는 비생산적이라는 것을 암시하는 증거는 없습니다.

지난 주까지 Zoom은 불필요한 Facebook 추적 코드를 포함 시켰으며, 여름 동안 Apple은 모든 사용자의 Mac 에 자동으로 설치 되는 안전하지 않은 웹 서버 를 강제로 제거하여 해커가 사용자를 감시 할 수 있도록하기 위해 개입했습니다. 개인 정보 보호 및 보안에 대한 Zoom의 태도와 중국과의 관계는 영국에서 문제를 일으킨 것으로 보입니다. 지난 주 국방부 는 영국 정부 가 안전한 통신을 위해 서비스를 사용하지 말 것을 경고했습니다 . 줌에는 여전히 보안 문제가 있습니다.

Houseparty는 유료 제품이 아니며 현재 수익 모델이 명확 하지 않습니다. 따라서 앱이 추적하는 내용에주의해야합니다. 그러나 현재로서는 Houseparty가 해킹 당했거나 정보가 유출되고 있다는 증거를 보지 못했습니다.

트위터의 일화로는 충분하지 않습니다 ...

트위터에 사용자의 은행 계좌가 습격 당했거나 Spotify 계정에 액세스했거나 Houseparty를 사용한 후 이메일을 사용할 수 있다고 주장하는 많은 보고서가 있지만 이러한 보고서는 모두 일화적이고 신뢰할 수 없습니다. 많은 사람들이 추측하기 쉬운 암호를 사용하고 항상 해킹 당합니다. Security Magazine은 매 39 초마다 해커의 공격을 제안하는 University of Maryland의 연구를 다루었으며 Gemalto의 데이터에 따르면 매초 291 개의 레코드가 도난당했습니다 .

요점을 보여주기 위해 : 애플의 보안은 일반적으로 단단하지만, 때때로 애플이 해킹 당했다 는 제안 이있다 . 트위터에서 언제든지 이것을 주장하는 크랭크를 얼마든지 쉽게 찾을 수 있습니다. 일화의 비난은 잘못을 증명하지 않습니다.

그동안 Houseparty는 제 3자가 다음과 같은 스미어 캠페인을 조율하고 있다고 주장합니다.

하원 도 말했다 :

모든 Houseparty 계정은 안전합니다. 서비스는 안전하고 훼손되지 않으며 다른 사이트의 비밀번호를 수집하지 않습니다

그러나 어느 정도의 합리적인 제품은 암호를 수집하거나 저장하지 않고 인증 토큰을 대신 사용 합니다 . 사용자가 Houseparty 계정을 Facebook, Spotify 또는 Snapchat과 연결하면 Houseparty 앱은 해당 계정에 대한 인증 또는 데이터 공유 토큰에 액세스하여 잠재적으로 저장할 수 있으며 저장 여부는 표시되지 않습니다. 이러한 종류의 토큰을 저장하는 데 본질적으로 특이한 것은 없지만 여전히 중요한 질문이 있습니다. Houseparty는 가입시에만 Facebook과 연락처를 동기화하거나 Facebook의 인증 토큰을 저장하여 연락처 또는 다른 계정 데이터를 동기화 할 수 있습니다 미래? 그들의 트윗은 이것을 배제하지 않습니다.

하우스 파티의 보안 및 데이터 사용에 대한 자세한 내용

ESET은 Houseparty의 Android 앱을 살펴본 후 크게 괜찮다고 제안했습니다. 우리는 Houseparty의 iOS 앱과 데이터를 저장하는 방법, 서비스와 관련된 계약 및 법률을 비슷한 방식으로 살펴 보았습니다. com.herzick.houseparty 앱에서 주목할만한 몇 가지 결과를 강조했습니다.

  • Houseparty는 현재 Zoom과 마찬가지로 Facebook과 통합됩니다. Houseparty의 Facebook 사용이 Zoom의 것보다 더 정당하지만 통합에는 Facebook과 일부 사용 데이터 공유가 포함됩니다. 표면 상으로 친구를 초대 할 수 있으며, 사용자가 Facebook과 연결하기로 선택한 경우 추적이 불가피한 결과입니다.
  • Houseparty는 최종 사용자 장치에서 모든 종류의 구성 데이터에 대한 피드 주소를 저장하고 캐시합니다. 예를 들어, Houseparty의 "재미있는 사실"퀴즈 게임에 대한 모든 질문과 답변의 경로가 포함됩니다. 다른 피드와 함께 모든 사용자의 휴대 전화에 남아있는 것으로 보입니다.
  • Houseparty 앱은 사용자가받는 일부 "Facemail"을 캐시합니다. Library/Application Support/Prefetch-Facemails 에서 찾을 수 있으며 mp4 형식으로 저장됩니다. (자신이 궁금하다면 이 문서 가 도움이 될 것입니다.)
  • 사용자의 휴대 전화에 저장되는 기기 정보를 추적 할 수있는 합리적인 양의 추적 정보가 있습니다. 처럼넷플릭스Houseparty는 기기의 사용자 에이전트 (예 :Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148)와 같은 값을 유지합니다.bnc_device_fingerprint_id시간이 지남에 따라 서비스를 사용하여 장치를 식별하는 데 도움이되는 장치 지문은만연한 연습애플이 반복해서 단속하고 Houseparty는 권장 사항을 사용하지 않는 것으로 보입니다.IDFA/IDFVApple이 제공하는 추적 식별자. 아마도 추적의 효과를 둔화시키기 때문입니다!
  • 놀랍게도 Houseparty 앱의 백업에는 앱에 대한 전체 로깅 / 추적 데이터베이스가 포함됩니다. 여기에는 사용자 자신의 데이터 만 포함되지만 실제로는 장황하고 백업에 있어서는 안되는 모든 종류의 세부 데이터가 포함됩니다.

우리는 Houseparty가 이러한 포인트 중 적어도 일부를 표시하지 않으면 타사 보안 감사를 거치지 않을 것이라고 생각하므로 현재 버전의 앱에 계속 존재한다는 사실은 우리를 불안하게 만듭니다. Houseparty가 타사 보안 감사를 수행했다는 확인은 안심할 수 있습니다.

작은 글씨를 보면 ...

마지막으로, Houseparty의 개인 정보 보호 정책 및 법률 담당자에게 돌아가서 우리는 제대로 앉아 있지 않은 몇 가지를 보았습니다. 첫째, 책임있는 공개 정책이 없습니다. 보안 연구원이 문제를 발견 할 때 회사가 어떻게 대응하는지 설명하는 문서가 될 것입니다. 일반적으로 이와 같은 정책에는 문제를 해결하기 위해 회사에 책임있게 문제를 공개 한 파인더에 대한 보안 현상금이 포함됩니다.

이와 같은 정책이 없기 때문에 보안 연구원은 일반적으로 문제를 발견 할 때 고객 관리 팀에 이메일을 보내야하며, 고객 관리를 통해 회사의 보안 팀과 연락하기가 어렵다는 것은 악명 높은 일입니다. 우리가 앱을 보면서 정말 끔찍한 것을 발견했다면 공개 정책은 우리가 찾은 것을 쉽게보고 할 수있는 장소를 제공했을 것입니다. (참고로 Reincubate의 공개 정책은 다음과 같습니다 .)

그들의 보안에 대한 비방 캠페인의 증거를 찾기 위해 (! 명확한 조건이나 조건없이) Houseparty은 $ 1m 현상금을 제공 할 것이라고 진정으로 놀라운 보이지만 플랫폼에서 보안 문제의 신뢰할 수있는 정보 공개에 대한 보상을 광고하지.

하원의 이용 약관에는 몇 가지 측면이 있습니다. Safe Harbor / Privacy Shield 또는 GDPR에는 사용자 보호에 대한 우연한 태도를 나타내며 유럽 데이터 보호 규제 기관에 법적 문제가 발생할 수 있습니다. . 또한 GDPR 규정 준수가 부족하다는 것은 그러한 서비스를 사용하는 비즈니스 자체가 데이터 보호 법률을 위반하여 자체 고객의 문제에 노출 될 수 있음을 의미 할 수 있습니다. GDPR이 고려되지 않았다는 한 가지 징후는 사용자가 마케팅을 옵트 아웃 만 선택할 수 있다는 입니다. 즉, 유럽의 GDPR 법률을 위반하는 것입니다.이 옵션은 가입 시점에 이러한 옵션을 "선택"해야합니다. 다른 데이터 수집을 옵트 아웃 할 방법도 없습니다.

하원의 조건은 다음과 같습니다.

귀하는 Life on Air가 서비스를 통해 귀하가 제출 한 모든 커뮤니케이션 내용, 여기에 공개 된 아이디어, 발명, 개념, 기술 또는 노하우를 포함하여 개발, 제조 및 / 또는 기타 목적을 포함하여 어떠한 목적 으로든 자유롭게 사용할 수 있음에 동의합니다 마케팅 상품 또는 서비스

우리는 변호사는 아니지만 지적 재산권 문제를 제기하는 것 같습니다. 비즈니스 아이디어 나 제품에 대해 이야기 할 경우 Houseparty는 자신의 제품을 개발하거나 타사에 정보를 판매하기 위해 논의한 내용을 자유롭게 취할 수 있습니다. . 또한 서비스가 일부 메시지 내용을 유지할 수 있다고 제안합니다. 그렇다면 통신 모니터링과 관련하여 유럽 법률에 위배 될 수 있습니다.

용어에는이 문구도 포함되어 있는데,이 문구는 사용자가 원치 않는 마케팅 커뮤니케이션을 거부하기 위해 Houseparty에게 이메일을 보내도록 요청합니다.

당사에 개인 정보를 제공하거나 제 3 자로부터 얻은 개인 정보를 제공하는 개인은 당사의 비즈니스 파트너 제품 및 서비스 또는 예정된 특별 제안에 대한 정보를 정기적으로 이메일, 뉴스 레터, 우편, 푸시 알림 또는 문자 메시지로받을 수 있습니다. / 관심있는 이벤트 당사는 아래 5 항의 지침에 따라 개인에게 무료로 이러한 통신을 거부 할 수있는 옵션을 제공합니다.

이러한 모든 Partyparty 개인 정보 문제는 FaceTime, iMessage, WhatsApp, Zoom 및 Slack과 같은 기존 메시징 앱과 완전히 대조됩니다. WhatsApp에는 개인 정보 보호에 관한 훌륭한 문서 및 정책이 있습니다. Zoom 도“Zoom은 서비스 제공의 일부가 아닌 다른 이유로 고객 콘텐츠를 모니터링하거나 사용하지 않습니다. Zoom은 고객 콘텐츠를 다른 사람에게 판매하거나 광고 목적으로 사용하지 않습니다.” Slack은 고객 데이터 만 사용하여 서비스를 제공하고 고객의 요구에 따라 서비스를 유지함을 분명히합니다 (예 : 일부 비즈니스 계획은 아카이빙 제공).

보안이 염려되면해야 할 일

온라인 보안 유지 또는 Houseparty 사용에 대해 우려되는 경우 다음 단계를 수행하는 것이 좋습니다.

  • Houseparty를 제거하는 것만으로는 서비스에서 데이터를 제거 할 수 없습니다. 서비스에는 여전히 전화 번호, 이름, 업로드 된 연락처 목록 및 인증 토큰이 저장 될 수 있습니다. 이 약관은 hello@houseparty.com 에 연락하여 마케팅을 거부하고 세부 정보를 삭제하도록 제안합니다. 이상하게도 이메일 data-requests@lifeonair.com 은 나중에 인용되지만 데이터 요청에 대해서는 언급되지 않습니다!
  • 전화 번호 이외의 많은 것을 공유하지 않고 Houseparty를 사용할 수 있습니다. 연락처 목록 업로드와 마찬가지로 Facebook, Snapchat 및 Spotify 통합은 모두 선택 사항입니다. 이러한 일을 피하고 대신 수동으로 친구를 추가하는 것이 좋습니다.
  • Houseparty를 실행할 때 사용자는 방문자가 언제든지 방으로 들어올 수 있음을 알고 있어야합니다. 앱을 열면 다른 사용자에게 온라인 상태임을 알립니다. 조심해! 기본적으로 방은 잠겨 있지 않습니다. 즉, 추가 한 모든 사람이 들어올 수 있습니다. 욕탕에있는 동안 상사가 집에 들러 오는 상사가 놀란 사용자에 대한 모든 종류의 트윗이 있습니다! Houseparty의 설정에서이를 변경할 수 있습니다.
  • 온라인 서비스와 마찬가지로 온라인 보안을 유지하기 위해 간단한 예방 조치를 취하는 것이 좋습니다. 이 기사의 마지막 부분에서이 내용을 요약하고 여기에서 Apple 사용자를위한 포괄적 인 보안 팁을 제공합니다 .

이 기사를 개선 할 수 있습니까?

사용자의 의견을 듣고 싶습니다. 전자 메일을 보내지 말고, 의견을 남기거나, 트윗하지 마십시오. @reincubate?

© 2008 - 2020 Reincubate Ltd. 판권 소유. 영국과 웨일즈에 등록 #5189175, VAT GB151788978. Reincubate®는 등록 상표입니다. 개인 정보 정책 & 자귀. 우리는 2FA를 권장합니다. 런던에서 Built로 지어졌습니다.