Beveiliging van videochat: wie is er in uw huisfeest?

Gepubliceerd bijgewerkt
Cover image for: Beveiliging van videochat: wie is er in uw huisfeest?

Videochat-apps zoals Houseparty hebben de afgelopen maanden een aanzienlijke toename van gebruikers gezien, omdat mensen over de hele wereld meer tijd thuis doorbrengen en meer online communiceren met hun vrienden en collega's. Wanneer bedrijven zo snel groeien, kan hun gebruikersbescherming vaak achterblijven. Langdurige communicatie-apps die zijn ingebouwd in platforms, zoals WhatsApp, iMessage en FaceTime, zijn doorgaans robuust, omdat ze worden gebruikt door miljarden gebruikers, en hebben daardoor veel onderzoek en testen ondergaan.

Kleinere, nieuwere videoplatforms zijn niet op deze manier onderzocht en de laatste tijd is de veiligheid van het gebruik van sommige video-apps in twijfel getrokken. We hebben eerder uitgebreid geschreven over hoe bedrijven legaal uw gegevens verzamelen , hoe u online veilig kunt blijven en wat u moet doen als uw accounts worden geschonden . In dit bericht ga ik kort naar Houseparty kijken, de risico's die daarmee gepaard gaan en wat je in eenvoudige stappen kunt doen om te voorkomen dat je iets deelt dat je liever privé houdt.

4 risico's waarmee alle gebruikers worden geconfronteerd: gegevensdiefstal, te veel delen of volgen van gegevens en zwakke beveiliging

Over het algemeen zijn er vier risico's waarmee gebruikers worden geconfronteerd bij het gebruik van video-apps zoals deze:

  1. Ongepaste inhoud en zwak ouderlijk toezicht.
  2. Opzettelijke - en illegale - gegevensdiefstal rechtstreeks van het app-bedrijf.
  3. Opzettelijk delen of volgen van gegevens die legaal maar vaak onverwacht zijn .
  4. Andere mensen die toegang krijgen tot uw persoonlijke informatie door nalatigheid in app-beveiliging of hacks die worden uitgevoerd als gevolg van zwakke app-beveiliging.

Laten we eens kijken naar de waarschijnlijkheid dat elk van deze zich voordoet.

De homepage van Houseparty brengt de app op de markt als een sociaal netwerk, maar mist de functies voor ouderlijk toezicht die gebruikers redelijkerwijs van een sociaal netwerk mogen verwachten. De promotietekst van de app in de Google Play Store beschrijft het als "echt het beste om persoonlijk rond te hangen". Dat is bijna waar: voor kinderen die Houseparty gebruiken, is de app alsof ze persoonlijk rondhangen, maar met een griezelige oudere persoon die hen vragen stelt over seks.

Bij het aanmelden bij Houseparty moeten alle gebruikers hun geboortedatum opgeven en de app houdt die informatie bij de hand terwijl deze actief is: het stuurt de geboortedatum van de gebruiker naar de trackingproducten die de app regelmatig gebruikt. De nieuwste functie van Houseparty - en de kern van hun plannen voor het genereren van inkomsten - is een reeks geïntegreerde quizzen die geen aandacht schenken aan de leeftijd van de gebruiker.

Bij het kiezen van een quiz om te spelen, krijgen alle gebruikers dezelfde lijst met quizzen te zien, waarbij de 18+ "Slang-termen" -quiz de derde op de lijst is - zelfs voor minderjarige gebruikers. We vermijden inhoud voor volwassenen op deze blog, dus we zullen niet in details treden, maar de quizzen bevatten een reeks diepgaande kindonvriendelijke inhoud, met onderwerpen zoals afkortingen voor profane zinnen, wat er echt gebeurt bij stripclubs, drugsreferenties van heroïne tot marihuana en verschillende beschrijvingen van seks en geslachtsdelen. Oh, en er is ook wat Jeffrey Dahmer-inhoud.

Playing Houseparty with an < 18 account (purple annotations ours), a mild example
Houseparty spelen met een account van <18 (paarse annotaties van ons), een mild voorbeeld

De Houseparty-app is in de App Store van Apple gemarkeerd als geschikt voor "12+" en adverteren in de Play Store van Google als geschikt voor "Teen" . De app heeft geen geïntegreerde functionaliteit voor ouderlijk toezicht.

Veel ouders maken zich terecht zorgen over waar hun kinderen online en in apps aan worden blootgesteld, en een aantal sites beoordeelt apps en geeft deze begeleiding. In het VK biedt Internet Matters zonder winstoogmerk een dergelijke service met steun van BT, Sky en anderen. De organisatie is momenteel druk bezig met het promoten van hun begeleiding op Houseparty en legt uit dat het werk met de industrie, de overheid en scholen om deze begeleiding te geven.

Dit soort diensten zijn een belangrijke bron voor ouders, maar in het geval van internetaangelegenheden lijkt het erop dat er weinig of geen due diligence is gedaan. Hun advies voor ouders is uiterst beperkt en houdt grotendeels vast aan een algemene waarschuwing over het gevaar van vreemden in video's, eindigend met een oproep tot actie voor ouders om de app te downloaden.

Internet Matters’ guidance for parents on Houseparty
Internet is belangrijk voor ouders op Houseparty

Een vluchtige lezing van de algemene voorwaarden van Houseparty zou ertoe leiden dat elke redelijke deskundige zou merken dat de app niet GDPR-compatibel is, geen ouderlijk toezicht heeft en rechten claimt om alles te gebruiken wat gebruikers delen in de app. Dit - samen met de 18+ quiz-inhoud - is belangrijk om te melden aan ouders. Internet Matters doet actief bezorgde ouders over de hele wereld een slechte dienst door deze inhoud te verstrekken.

Internet Matters is niet de enige service die geruststellende pagina's publiceert over apps die niet voldoende zijn onderzocht, maar we hebben ervoor gekozen om ze te benadrukken omdat ze vanaf 2 april nog steeds investeren in het promoten van misleidende inhoud , ondanks ten minste een gebruiker meldt bezorgdheid in het openbaar.

Internet Matters vs. a person who used Houseparty
Internet is belangrijk versus een persoon die Houseparty heeft gebruikt

Wij zijn van mening dat dergelijke services de stappen die ze nemen bij het doorlichten van apps duidelijk moeten weergeven, en een duidelijke disclaimer moeten toevoegen wanneer doorlichting oppervlakkig is geweest en uitsluitend is uitgevoerd op basis van marketingmateriaal en niet ter beoordeling van de voorwaarden of het product zelf. Deze services moeten overwegen hun inhoud in te trekken nadat producten en services zijn bijgewerkt, totdat de inhoud de huidige status van de app voldoende kan weergeven. (De begeleiding van Internet Matters is voor het laatst bijgewerkt op 24 december 2019, maar Houseparty heeft ongeveer 11 maanden eerder in januari 2019 quizzen geïntroduceerd.)

Volgen, volgen, overal ...

Hoe zit het met legaal - maar onverwacht - delen van persoonlijke gegevens? Houseparty heeft hier wat dingen aan de hand.

Het risico op illegale datadiefstal is extreem laag. Het moederbedrijf van Houseparty heeft duidelijke bedrijfsmodellen waar dit niet bij betrokken is, en ze hebben hun hoofdkantoor in een land met fatsoenlijke gegevensbeschermingswetten. Houseparty is eigendom van Epic Games . Er is geen bewijs dat suggereert dat het de gegevens van een gebruiker zou stelen, en betrapt worden zou contraproductief zijn.

Houseparty is geen betaald product en het verdienmodel is momenteel niet duidelijk . Dat is een goede reden om op uw hoede te zijn voor wat de app mogelijk bijhoudt. In de huidige vorm hebben we echter geen bewijs gezien dat Houseparty is gehackt of informatie lekt.

Anekdotes op Twitter zijn niet genoeg ...

Er zijn tal van rapporten op Twitter van gebruikers die beweren dat hun bankrekeningen zijn overvallen, Spotify-accounts zijn geopend of e-mails beschikbaar zijn gesteld na het gebruik van Houseparty, maar die rapporten zijn allemaal anekdotisch en onbetrouwbaar. Veel mensen gebruiken gemakkelijk te raden wachtwoorden en worden voortdurend gehackt: Security Magazine deed verslag van een onderzoek van de Universiteit van Maryland dat suggereert dat hackers elke 39 seconden aanvallen, en Gemalto's gegevens suggereren dat 291 records elke seconde worden gestolen .

Om het punt te demonstreren: de beveiliging van Apple is over het algemeen ijzersterk, maar af en toe is er nog een suggestie dat Apple is gehackt ; het is gemakkelijk genoeg om op elk moment een aantal cranks op Twitter te vinden die dit beweren. Anekdotische beschuldigingen bewijzen geen wangedrag.

In de tussentijd beweert Houseparty dat een derde partij een lastercampagne tegen hen organiseert:

Houseparty heeft ook gezegd :

Alle Houseparty-accounts zijn veilig - de service is veilig, is nooit gecompromitteerd en verzamelt geen wachtwoorden voor andere sites

Tot op zekere hoogte is dat woordspeling: elk redelijk product zal geen wachtwoorden verzamelen of opslaan, ze gebruiken in plaats daarvan authenticatietokens . Waar gebruikers hun Houseparty-accounts verbinden met Facebook, Spotify of Snapchat, heeft de Houseparty-app toegang tot en mogelijk authenticatie- of gegevensuitwisselingstokens voor deze accounts, en er is geen indicatie of deze al dan niet zijn opgeslagen. Er is niets intrinsiek ongewoons aan het opslaan van dit soort tokens, maar er is nog steeds een belangrijke vraag: synchroniseert Houseparty contacten met Facebook alleen bij aanmelding, of slaan ze het authenticatietoken op voor Facebook zodat het contacten of andere accountgegevens kan synchroniseren in toekomst? Hun tweet sluit dit niet uit.

Beveiliging en datagebruik van Houseparty in meer detail

ESET bekeek de Android-app van Houseparty en stelde voor dat deze er over het algemeen goed uitziet. We hebben een vergelijkbare kijk gehad op de iOS-app van Houseparty en hoe deze gegevens opslaat, evenals enkele van de contracten en legalese rond de service. We hebben enkele opmerkelijke vondsten uit de com.herzick.houseparty app com.herzick.houseparty , zoals deze wordt genoemd:

  • Houseparty integreert momenteel, net als Zoom, met Facebook. Integratie omvat het delen van sommige gebruiksgegevens met Facebook. Het is ogenschijnlijk aanwezig om het uitnodigen van iemands Facebook-vrienden mogelijk te maken, en tracking is een onvermijdelijk gevolg als gebruikers ervoor kiezen om verbinding te maken met Facebook.
  • Houseparty slaat feedadressen op en slaat deze op voor allerlei configuratiegegevens op apparaten van eindgebruikers. Het bevat bijvoorbeeld het pad naar alle vragen en antwoorden voor Houseparty's "leuk feitje" trivia-spel. Het lijkt op de telefoon van elke gebruiker te staan, samen met een heleboel andere feeds.
  • De Houseparty-app slaat een aantal "Facemails" op die gebruikers ontvangen. Ze zijn te vinden in Library/Application Support/Prefetch-Facemails en ze zijn opgeslagen in mp4 indeling. (Als je nieuwsgierig bent om zelf te zoeken, zou dit document moeten helpen.)
  • Er wordt een redelijke hoeveelheid trackinginformatie opgeslagen over de telefoon van een gebruiker, waarschijnlijk voor vingerafdrukken van apparaten. Net alsNetflixHouseparty slaat de user-agent van een apparaat op (bijv.Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148) maar houdt ook waarden zoalsbnc_device_fingerprint_id, waarmee ze apparaten kunnen identificeren die de service in de loop van de tijd gebruiken Vingerafdrukken van apparaten is eenalomtegenwoordige praktijkwaar Apple herhaaldelijk op is ingegaan, en Houseparty lijkt de aanbevolen niet te gebruikenIDFA/IDFVtracking-ID's die Apple verstrekt. Vermoedelijk omdat ze de effectiviteit van tracking afzwakken!
  • Verrassend genoeg bevatten back-ups van de Houseparty-app een volledige logging / tracking-database voor de app. Dat omvat alleen de eigen gegevens van een gebruiker, maar het is echt uitgebreid en bevat allerlei gedetailleerde gegevens die geen back-up mogen bevatten.

We vermoeden dat Houseparty een beveiligingsaudit van een derde partij niet zou doorstaan zonder dat tenminste een aantal van deze punten is gemarkeerd, dus het feit dat deze nog steeds aanwezig zijn in de huidige versie van de app, maakt ons nerveus. Het zou geruststellend zijn te bevestigen dat Houseparty een beveiligingsaudit van derden heeft uitgevoerd.

Kijkend naar de kleine lettertjes ...

Ten slotte, wat betreft het privacybeleid en legalese van Houseparty, zagen we een paar dingen die niet goed zaten. Ten eerste is er geen verantwoord openbaarmakingsbeleid. Dat zou een document zijn dat beschrijft hoe het bedrijf reageert wanneer en wanneer een beveiligingsonderzoeker een probleem vindt. Gewoonlijk bevat dit soort beleid een premie voor de vinder op basis van het feit dat ze het probleem op verantwoordelijke wijze aan het bedrijf bekendmaken, zodat het probleem kan worden opgelost.

Bij gebrek aan een dergelijk beleid, worden beveiligingsonderzoekers meestal overgelaten om klantenserviceteams te e-mailen wanneer ze problemen vinden, en het is notoir moeilijk om door de klantenservice te gaan om contact te leggen met het beveiligingsteam van een bedrijf. Als we tijdens het zoeken echt iets vreselijks in de app hadden gevonden, zou een openbaarmakingsbeleid ons een plek hebben gegeven om gemakkelijk te melden wat we vonden. (Ter referentie, hier is het openbaarmakingsbeleid van Reincubate .)

Het lijkt echt verbazingwekkend dat Houseparty een premie van $ 1 miljoen zou bieden (zonder duidelijke voorwaarden of voorwaarden!) Om bewijs te vinden van een lastercampagne over hun beveiliging, maar geen reclame zou maken voor een verantwoorde bekendmaking van beveiligingsproblemen op het platform .

Er zijn enkele aspecten van de Houseparty-voorwaarden: er wordt helemaal geen melding gemaakt van Safe Harbor / Privacy Shield of GDPR, wat duidt op een losse houding ten opzichte van de bescherming van gebruikers, en hen mogelijk in juridische problemen kan brengen met Europese toezichthouders voor gegevensbescherming. . Bovendien kan een gebrek aan naleving van de AVG er ook toe leiden dat bedrijven die dergelijke diensten gebruiken zelf in strijd zijn met de wetgeving inzake gegevensbescherming, wat hen zou kunnen blootstellen aan uitdagingen van hun eigen klanten. Een indicatie dat er geen rekening is gehouden met GDPR, is dat gebruikers alleen kunnen kiezen om zich af te melden voor marketing - dat is in strijd met de Europese GDPR-wetgeving, die vereist dat dergelijke opties "opt-in" zijn op het moment van aanmelding. Er is ook geen manier om u af te melden voor andere gegevensverzameling.

De voorwaarden van Houseparty omvatten het volgende:

U stemt ermee in dat Life on Air vrij is om de inhoud van alle communicatie die u via de Services heeft ingediend te gebruiken, inclusief ideeën, uitvindingen, concepten, technieken of knowhow die daarin worden onthuld, voor welk doel dan ook, inclusief ontwikkeling, productie en / of marketing goederen of diensten

We zijn geen advocaten, maar dat schijnt problemen op het gebied van intellectueel eigendom op te werpen: als u praat over uw bedrijfsidee of product, staat Houseparty vrij om alles wat u heeft besproken mee te nemen om hun eigen product te ontwikkelen of de informatie aan een derde partij te verkopen . Het suggereert ook dat de dienst een deel van de inhoud van een bericht kan bevatten : als dat het geval is, kan het in strijd zijn met de Europese wetten rond het toezicht op communicatie.

Hun termen bevatten ook deze zin, die gebruikers ertoe aanzet Houseparty te e-mailen om zich af te melden voor ongevraagde marketingcommunicatie:

Personen die ons persoonlijke informatie verstrekken of wiens persoonlijke informatie we van derden verkrijgen, kunnen periodieke e-mails, nieuwsbrieven, mailings, pushmeldingen of sms-berichten van ons ontvangen met informatie over de producten en diensten van onze of onze zakelijke partners of aankomende speciale aanbiedingen / evenementen waarvan wij denken dat ze interessant kunnen zijn. We bieden de mogelijkheid om deze communicatie kosteloos voor de persoon te weigeren door de instructies in sectie 5 hieronder te volgen.

Al deze privacyproblemen van Houseparty staan in schril contrast met gevestigde berichten-apps, zoals FaceTime, iMessage, WhatsApp, Zoom en Slack. WhatsApp heeft een uitstekende set documentatie en privacybeleid. Zelfs Zoom stelt dat "Zoom inhoud van klanten niet bewaakt of gebruikt om een andere reden dan als onderdeel van het leveren van onze diensten. Zoom verkoopt klantinhoud aan niemand en gebruikt deze niet voor reclamedoeleinden ”. Slack maakt duidelijk dat ze Klantgegevens alleen gebruiken om de dienst te verlenen en ze bewaren in overeenstemming met de wensen van de klant (bijv. Sommige bedrijfsplannen voorzien in archivering).

Wat u moet doen als u zich zorgen maakt over uw beveiliging

Als je je zorgen maakt over het online beveiligen of over het gebruik van Houseparty, raden we je aan de volgende stappen te nemen.

  • Het verwijderen van Houseparty is niet voldoende om uw gegevens uit hun service te verwijderen. Hun service kan mogelijk nog steeds uw telefoonnummer, naam, geüploade contactenlijst en authenticatietokens opslaan. Hun voorwaarden stellen voor om contact op te nemen met hello@houseparty.com om u af te melden voor marketing en om uw gegevens te laten verwijderen. Vreemd genoeg wordt de e-mail data-requests@lifeonair.com later geciteerd, maar niet voor gegevensverzoeken!
  • Het is mogelijk Houseparty te gebruiken zonder veel anders te delen dan je telefoonnummer. De Facebook-, Snapchat- en Spotify-integraties zijn allemaal optioneel, net als het uploaden van uw contactenlijst. We raden u aan een van deze dingen niet te doen en in plaats daarvan handmatig vrienden toe te voegen.
  • Bij het runnen van Houseparty moeten gebruikers zich ervan bewust zijn dat bezoekers op elk moment een kamer kunnen binnenlopen. Andere gebruikers krijgen een melding dat u online bent zodra u de app opent. Pas op! Standaard zijn kamers niet vergrendeld, wat betekent dat iedereen die heeft toegevoegd, kan binnenlopen. Er zijn allerlei tweets over gebruikers die verrast worden door het feit dat hun baas langskomen op hun Houseparty terwijl ze in bad waren! Je kunt dit wijzigen in de instellingen van Houseparty.
  • Zoals bij elke online service, raden we aan een paar eenvoudige voorzorgsmaatregelen te nemen om online veilig te blijven. We vatten deze aan het einde van dit artikel samen en geven hier uitgebreide beveiligingstips voor Apple-gebruikers .

Kunnen we dit artikel verbeteren?

We horen graag van gebruikers: Stuur ons een e-mail, laat een reactie achter of stuur een tweet @reincubate?

© 2008 - 2020 Reincubate Ltd. Alle rechten voorbehouden. Geregistreerd in Engeland en Wales #5189175, VAT GB151788978. Reincubate en Camo zijn handelsmerken. Privacybeleid & termen. Wij bevelen 2FA aan. Gebouwd met in Londen.