Segurança de bate-papo por vídeo: quem está em sua casa?

Publicados Atualizada
Cover image for: Segurança de bate-papo por vídeo: quem está em sua casa?

Os aplicativos de bate-papo por vídeo, como o Houseparty, registraram um aumento significativo de usuários nos últimos meses, pois as pessoas em todo o mundo passam mais tempo em casa e interagem mais com seus amigos e colegas on-line. Quando as empresas crescem rapidamente, sua proteção ao usuário geralmente fica para trás. Os aplicativos de comunicação de longa data incorporados às plataformas, como WhatsApp, iMessage e FaceTime, tendem a ser robustos, pois são usados por bilhões de usuários, e tiveram muitos exames e testes como resultado.

Plataformas de vídeo menores e mais recentes não foram examinadas dessa maneira e, ultimamente, a segurança do uso de alguns aplicativos de vídeo tem sido questionada. Escrevemos detalhadamente antes sobre como as empresas coletam seus dados legalmente , como se manter seguro online e as etapas a serem seguidas se suas contas forem violadas . Neste post, vou dar uma breve olhada no Houseparty, os riscos que o acompanham e o que você pode fazer em etapas simples para evitar o compartilhamento de qualquer coisa que você preferir manter em sigilo.

4 riscos que todos os usuários enfrentam: roubo de dados, compartilhamento excessivo ou rastreamento de dados e segurança fraca

De um modo geral, existem quatro riscos que os usuários enfrentam ao usar aplicativos de vídeo como estes:

  1. Conteúdo inadequado e controles parentais fracos.
  2. Roubo de dados deliberado - e ilegal - diretamente da empresa de aplicativos.
  3. Compartilhamento ou rastreamento deliberado de dados legais, mas geralmente inesperados .
  4. Outras pessoas que acessam suas informações pessoais por negligência na segurança do aplicativo ou hacks executados como consequência da fraca segurança do aplicativo.

Vamos dar uma olhada na probabilidade de cada uma dessas ocorrências.

A página inicial da Houseparty comercializa o aplicativo como uma rede social, mas não possui as funções de controle dos pais que os usuários podem razoavelmente esperar de uma rede social. O texto promocional do aplicativo na Play Store do Google o descreve como "verdadeiramente a próxima melhor coisa para se conhecer pessoalmente". Isso é quase verdade: para crianças que usam Houseparty, o aplicativo é como sair pessoalmente, mas com uma pessoa mais velha e assustadora fazendo perguntas sobre sexo.

Ao se inscrever no Houseparty, todos os usuários devem fornecer sua data de nascimento, e o aplicativo mantém essas informações prontamente em mãos enquanto está em execução: envia a data de nascimento do usuário para os produtos de rastreamento que o aplicativo usa regularmente. O mais novo recurso da Houseparty - e o cerne de seus planos de monetização - é uma série de testes integrados que não dão atenção à idade do usuário.

Ao escolher um questionário para jogar, todos os usuários recebem a mesma lista de questionários, com o questionário de mais de 18 termos de gíria sendo o terceiro da lista - mesmo para usuários menores de idade. Evitamos conteúdo adulto neste blog, para não entrarmos em detalhes, mas os questionários incluem uma variedade de conteúdo profundamente hostil para crianças, com tópicos que incluem abreviações para frases profanas, o que realmente acontece em clubes de strip-tease, referências a medicamentos da heroína à maconha, e várias descrições de sexo e genitália. Ah, e também há algum conteúdo de Jeffrey Dahmer.

Playing Houseparty with an < 18 account (purple annotations ours), a mild example
Jogando Houseparty com uma conta <18 (anotações roxas nossa), um exemplo leve

O aplicativo Houseparty está marcado na App Store da Apple como adequado para "12+" e a publicidade na Play Store do Google como adequado para "Adolescente" . O aplicativo não possui funcionalidade de controle parental integrada.

Muitos pais estão justificadamente preocupados com o que seus filhos estão expostos on-line e em aplicativos, e vários sites revisam aplicativos e fornecem essa orientação. No Reino Unido, a Internet Matters , sem fins lucrativos , fornece esse serviço com o apoio da BT, Sky e outros. Atualmente, a organização está promovendo fortemente suas orientações sobre a Houseparty , explicando que o trabalho com a indústria, o governo e as escolas para fornecer essas orientações.

Serviços como esse são um recurso importante para os pais, mas, no caso da Internet Matters, parece que pouca ou nenhuma diligência foi realizada. Seus conselhos para os pais são extremamente limitados, aderindo em grande parte a um aviso genérico sobre perigo mais estranho nos vídeos, terminando com um plano de ação para os pais baixarem o aplicativo.

Internet Matters’ guidance for parents on Houseparty
Orientação da Internet Matters para os pais no Houseparty

Uma leitura superficial dos termos e condições da Houseparty levaria qualquer especialista razoável a perceber que o aplicativo não é compatível com GDPR, carece de controle dos pais e reivindica direitos de usar qualquer coisa que os usuários compartilhem no aplicativo. Isso - junto com o conteúdo de mais de 18 anos - é importante para indicar aos pais. A Internet Matters está ativamente fazendo um desserviço aos pais preocupados em todo o mundo, fornecendo esse conteúdo.

O Internet Matters não é o único serviço a publicar páginas tranquilizadoras em aplicativos que não foram examinados adequadamente, mas optamos por destacá-los porque, a partir de 2 de abril, eles ainda estão investindo na promoção de conteúdo enganoso , apesar de pelo menos um usuário relatando publicamente preocupações.

Internet Matters vs. a person who used Houseparty
Internet Matters vs. uma pessoa que usou Houseparty

Acreditamos que serviços como esse devem exibir com destaque as etapas que eles executam ao avaliar aplicativos e adicionar um aviso claro de isenção de responsabilidade, quando a verificação foi superficial e realizada exclusivamente a partir de materiais de marketing e não a revisão dos termos ou do próprio produto. Esses serviços devem considerar a retirada de seu conteúdo após a atualização dos produtos e serviços, até que o conteúdo possa refletir adequadamente o estado atual do aplicativo. (A orientação da Internet Matters foi atualizada pela última vez em 24 de dezembro de 2019, mas a Houseparty introduziu testes cerca de 11 meses antes em janeiro de 2019.)

Rastreamento, rastreamento, em todos os lugares ...

E o compartilhamento legal - mas inesperado - de dados pessoais? Houseparty tem algumas coisas acontecendo aqui.

O risco de roubo ilegal de dados é extremamente baixo. A empresa-mãe da Houseparty possui modelos de negócios claros que não envolvem isso e estão sediados em um país com leis decentes de proteção de dados. Houseparty é de propriedade da Epic Games . Não há evidências que sugiram que eles roubariam os dados de um usuário, e ser pego fazendo isso seria contraproducente.

O Houseparty não é um produto pago e seu modelo de receita não está claro no momento . Essa é uma boa razão para desconfiar do que o aplicativo pode estar rastreando. No entanto, do jeito que está, não vimos nenhuma evidência de que o Houseparty tenha sido invadido ou esteja vazando informações.

Anedotas no Twitter não são suficientes ...

Existem muitos relatórios no Twitter de usuários que alegam que suas contas bancárias foram invadidas, contas do Spotify acessadas ou e-mails disponibilizados após o uso do Houseparty, mas esses relatórios são anedóticos e não confiáveis. Muitas pessoas usam senhas fáceis de adivinhar e são hackeadas o tempo todo: a Security Magazine cobriu um estudo da Universidade de Maryland sugerindo ataques de hackers a cada 39 segundos, e os dados da Gemalto sugerem que 291 registros são roubados a cada segundo .

Para demonstrar o argumento: a segurança da Apple geralmente é sólida, mas de vez em quando ainda há uma sugestão de que a Apple foi invadida ; é fácil encontrar qualquer número de manivelas no Twitter alegando isso a qualquer momento. Acusações anedóticas não provam irregularidades.

Enquanto isso, a Houseparty afirma que um terceiro está orquestrando uma campanha de difamação contra eles:

A Houseparty também disse :

Todas as contas da Houseparty são seguras - o serviço é seguro, nunca foi comprometido e não coleta senhas para outros sites

Até certo ponto, no entanto, isso é jogo de palavras: qualquer produto razoável não coletará ou armazenará senhas , elas usarão tokens de autenticação . Onde os usuários conectam suas contas do Houseparty ao Facebook, Spotify ou Snapchat, o aplicativo Houseparty poderá acessar e potencialmente armazenar tokens de autenticação ou compartilhamento de dados para essas contas, e não há indicação de que eles estejam ou não armazenados. Não há nada intrinsecamente incomum em armazenar esses tipos de tokens, mas ainda há uma pergunta importante: o Houseparty sincroniza contatos com o Facebook apenas na inscrição ou eles armazenam o token de autenticação do Facebook para que ele possa sincronizar contatos ou outros dados da conta no futuro? O tweet deles não descarta isso.

Segurança e uso de dados da empresa doméstica com mais detalhes

A ESET analisou o aplicativo Android da Houseparty e sugeriu que ele parece bem . Analisamos o aplicativo iOS da Houseparty e como ele armazena dados, bem como alguns dos contratos e leis em torno do serviço. Destacamos algumas descobertas notáveis do aplicativo com.herzick.houseparty , como é chamado:

  • Atualmente, a Houseparty se integra ao Facebook, assim como o Zoom. A integração envolve o compartilhamento de alguns dados de uso com o Facebook. Está ostensivamente lá para permitir o convite de amigos no Facebook, e o rastreamento é uma consequência inevitável se os usuários optarem por se conectar ao Facebook.
  • O Houseparty armazena e armazena em cache os endereços de feed para todos os tipos de dados de configuração nos dispositivos do usuário final. Por exemplo, inclui o caminho para todas as perguntas e respostas para o jogo de curiosidades "House Fun". Parece ter sido deixado no telefone de todos os usuários, junto com vários outros feeds.
  • O aplicativo Houseparty armazena em cache alguns "Facemails" que os usuários recebem. Eles podem ser encontrados em Library/Application Support/Prefetch-Facemails e são armazenados no formato mp4 . (Se você estiver curioso para procurar por si mesmo, este documento deve ajudar.)
  • Há uma quantidade razoável de informações de rastreamento que são armazenadas sobre o telefone de um usuário, provavelmente para impressões digitais do dispositivo. Assim comoNetflix, O Houseparty armazena o agente do usuário de um dispositivo (por exemplo,Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148), mas também mantém valores comobnc_device_fingerprint_id, que os ajudam a identificar dispositivos usando o serviço ao longo do tempo. A impressão digital do dispositivo é umaprática generalizadaque a Apple repetidamente reprimiu e o Houseparty não parece estar usando o recomendadoIDFA/IDFVidentificadores de rastreamento fornecidos pela Apple. Presumivelmente, porque eles diminuem a eficácia do rastreamento!
  • Surpreendentemente, os backups do aplicativo Houseparty incluem um banco de dados completo de registro / rastreamento para o aplicativo. Isso inclui apenas os dados de um usuário, mas é realmente detalhado e inclui todos os tipos de dados granulares que não devem estar em um backup.

Suspeitamos que a Houseparty não seja submetida a uma auditoria de segurança de terceiros sem que pelo menos alguns desses pontos sejam sinalizados; portanto, o fato de eles continuarem presentes na versão atual do aplicativo nos deixa nervosos. A confirmação de que a Houseparty realizou uma auditoria de segurança de terceiros seria tranquilizadora.

Olhando as letras pequenas ...

Finalmente, voltando-se à política de privacidade e ao juridico da Houseparty , vimos algumas coisas que não se encaixavam bem. Em primeiro lugar, não há política de divulgação responsável. Esse seria um documento que descreve como a empresa reage como e quando um pesquisador de segurança encontra um problema. Normalmente, políticas como essa incluem uma recompensa de segurança para o localizador, com base na divulgação responsável do problema à empresa, para que o problema possa ser resolvido.

Na falta de uma política como essa, os pesquisadores de segurança geralmente são deixados por e-mail para as equipes de atendimento ao cliente quando encontram problemas, e é notoriamente difícil passar pelo atendimento ao cliente para entrar em contato com a equipe de segurança da empresa. Se tivéssemos encontrado algo realmente terrível no aplicativo enquanto procurávamos, uma política de divulgação nos daria um lugar para relatar facilmente o que descobrimos. (Para referência, veja a política de divulgação do Reincubate .)

Parece realmente surpreendente que a Houseparty ofereça uma recompensa de US $ 1 milhão (sem termos ou condições claros!) Para encontrar evidências de uma campanha de difamação em sua segurança, mas não anunciar qualquer recompensa pela divulgação responsável de problemas de segurança na plataforma .

Existem alguns aspectos preocupantes dos termos e condições da Houseparty: não há menção a Safe Harbor / Privacy Shield ou GDPR, o que indica uma atitude casual em relação à proteção dos usuários e pode potencialmente colocá-los em dificuldades legais com os reguladores europeus de proteção de dados . Além disso, a falta de conformidade com o GDPR também pode significar que as empresas que usam esses serviços violam a legislação de proteção de dados, o que pode expô-los a desafios de seus próprios clientes. Uma indicação de que o GDPR não foi considerado é que os usuários só podem optar por não participar do marketing - isso viola a legislação europeia do GDPR, que exige que essas opções sejam “ativadas” no momento da inscrição. Também não há como excluir outras coleções de dados.

Os termos da casa incluem o seguinte:

Você concorda que a Life on Air é livre para usar o conteúdo de quaisquer comunicações enviadas por você através dos Serviços, incluindo quaisquer idéias, invenções, conceitos, técnicas ou know-how aqui divulgado, para qualquer finalidade, incluindo desenvolvimento, fabricação e / ou bens ou serviços de marketing

Não somos advogados, mas isso parece suscitar problemas de propriedade intelectual: se você falar sobre sua ideia ou produto comercial, a Houseparty estará livre para tomar qualquer coisa discutida por você para desenvolver seu próprio produto ou vender as informações a terceiros. . Ele também sugere que o serviço pode reter algum conteúdo da mensagem : nesse caso, pode infringir as leis europeias em relação ao monitoramento de comunicações.

Seus termos também incluem esta frase, que solicita que os usuários enviem um email para a Houseparty para desativar as comunicações de marketing não solicitadas:

Os indivíduos que nos fornecem Informações Pessoais, ou cujas Informações Pessoais obtemos de Terceiros, podem receber e-mails periódicos, boletins, correspondências, notificações push ou mensagens de texto nossas com informações sobre os produtos e serviços dos nossos parceiros comerciais ou sobre as próximas ofertas especiais / eventos que acreditamos que possam ser do seu interesse. Oferecemos a opção de recusar essas comunicações sem custo para o Indivíduo, seguindo as instruções na Seção 5 abaixo.

Todos esses problemas de privacidade do Houseparty contrastam fortemente com os aplicativos de mensagens estabelecidos, como FaceTime, iMessage, WhatsApp, Zoom e Slack. O WhatsApp possui um excelente conjunto de documentação e políticas sobre privacidade. Até a Zoom afirma que “o Zoom não monitora ou usa o conteúdo do cliente por qualquer outro motivo que não seja parte do fornecimento de nossos serviços. O Zoom não vende conteúdo de clientes a ninguém ou o utiliza para fins publicitários ”. O Slack deixa claro que eles usam apenas os Dados do cliente para fornecer o serviço e os mantêm de acordo com os desejos do cliente (por exemplo, alguns planos de negócios fornecem arquivamento).

O que fazer se você estiver preocupado com sua segurança

Se você estiver preocupado com a segurança online ou com o uso do Houseparty, recomendamos que você siga as etapas abaixo.

  • Desinstalar o Houseparty não é suficiente para remover seus dados do serviço deles. O serviço deles ainda pode armazenar seu número de telefone, nome, lista de contatos carregada e tokens de autenticação. Os termos deles sugerem entrar em contato com hello@houseparty.com para desativar o marketing e remover seus dados. Estranhamente, o email data-requests@lifeonair.com é citado mais tarde, mas não para solicitações de dados!
  • É possível usar o Houseparty sem compartilhar muito além do seu número de telefone. As integrações do Facebook, Snapchat e Spotify são opcionais, assim como o upload da sua lista de contatos. Recomendamos que você evite fazer essas coisas e adicione amigos manualmente.
  • Ao executar o Houseparty, os usuários devem estar cientes de que os visitantes podem entrar em uma sala a qualquer momento. Outros usuários serão notificados de que você está online assim que você abrir o aplicativo. Cuidado! Por padrão, os quartos não estão trancados, o que significa que qualquer pessoa que tenha adicionado pode entrar. Existem todos os tipos de tweets sobre os usuários serem surpreendidos pelo chefe que aparece no Houseparty enquanto eles estavam no banho! Você pode alterar isso nas configurações da Houseparty.
  • Como em qualquer serviço on-line, recomendamos tomar um conjunto simples de precauções para manter a segurança on-line. Resumimos isso no final deste artigo e apresentamos dicas abrangentes de segurança para usuários da Apple aqui .

Podemos melhorar este artigo?

Adoramos ouvir os usuários: por que não nos enviar um e-mail, deixar um comentário ou twittar? @reincubate?

© 2008 - 2020 Reincubate Ltd. Todos os direitos reservados. Registrado na Inglaterra e no País de Gales #5189175, VAT GB151788978. Reincubate® e Camo® são marcas registradas. Política de Privacidade & termos. Recomendamos 2FA. Construído com em Londres.