Безопасность видеочата: кто в вашем доме?

За последние несколько месяцев количество приложений для видеочата, таких как Houseparty, значительно увеличилось, поскольку люди по всему миру проводят больше времени дома и больше общаются со своими друзьями и коллегами в Интернете. Когда компании так быстро растут, их защита пользователей часто может отставать. Давние коммуникационные приложения, встроенные в платформы, такие как WhatsApp, iMessage и FaceTime, имеют тенденцию быть надежными, так как их используют миллиарды пользователей, и в результате они прошли много исследований и испытаний.

Меньшие, новые видео платформы не были исследованы таким образом, и в последнее время безопасность использования некоторых видео приложений была поставлена под сомнение. Ранее мы подробно писали о том, как компании собирают ваши данные на законных основаниях , как обеспечить безопасность в Интернете и какие действия необходимо предпринять в случае взлома ваших учетных записей . В этом посте я кратко расскажу о Houseparty, рисках, связанных с его использованием, и о том, что вы можете сделать простыми шагами, чтобы не делиться чем-то, что вы предпочитаете держать в секрете.

4 риски, с которыми сталкиваются все пользователи: кража данных, чрезмерный обмен или отслеживание данных и слабая безопасность

Вообще говоря, существует четыре риска, с которыми пользователи сталкиваются при использовании таких видеоприложений:

1. Несоответствующий контент и слабый родительский контроль.
2. Умышленное - и незаконное - кража данных непосредственно от компании-разработчика.
3. Преднамеренный обмен или отслеживание данных, которые являются законными, но часто неожиданными .
4. Другие люди получают доступ к вашей личной информации из-за халатности в безопасности приложения или из-за взлома, вызванного слабой безопасностью приложения.

Давайте посмотрим на вероятность каждого из них.

Домашняя страница Houseparty позиционирует приложение как социальную сеть, но в ней отсутствуют функции родительского контроля, которые пользователи могут разумно ожидать от социальной сети. Рекламный текст приложения в магазине Google Play описывает его как «по-настоящему лучшее, что можно сделать лично». Это почти верно: для детей, использующих Houseparty, приложение похоже на общение лично, но с жутким пожилым человеком, задающим им вопросы о сексе.

При регистрации в Houseparty все пользователи должны указать дату своего рождения, и приложение всегда готово хранить эту информацию во время работы: оно отправляет дату рождения пользователя продуктам отслеживания, которые приложение использует на регулярной основе. Новейшая функция Houseparty - и суть их планов монетизации - представляет собой серию интегрированных тестов, которые не учитывают возраст пользователя.

При выборе викторины для игры всем пользователям показывается один и тот же список викторин, причем 18+ викторина «Условия сленга» является третьей в списке - даже для несовершеннолетних пользователей. Мы избегаем содержания для взрослых в этом блоге, поэтому не будем вдаваться в подробности, но тесты включают в себя ряд глубоко недружелюбных по отношению к детям материалов, с темами, включая сокращения для оскорбительных фраз, что на самом деле происходит в стрип-клубах, ссылки на наркотики от героина до марихуаны, и различные описания секса и гениталий. О, и есть также некоторый контент Джеффри Дамера.

Приложение Houseparty помечено в Apple App Store как подходящее для «12+», а реклама в Google Play Store подходит для «Teen» . Приложение не имеет встроенной функции родительского контроля.

Многие родители справедливо обеспокоены тем, что их дети сталкиваются с онлайн и в приложениях, и ряд сайтов рассматривают приложения и предоставляют это руководство. В Великобритании некоммерческая организация Internet Matters предоставляет такую услугу при поддержке BT, Sky и других. В настоящее время организация активно продвигает свои рекомендации по Houseparty , объясняя, что работа с промышленностью, правительством и школами должна обеспечить это руководство.

Подобные сервисы являются важным ресурсом для родителей, но в случае с интернет-вопросами выясняется, что должной осмотрительности мало или вообще не было. Их советы для родителей крайне ограничены, в основном они придерживаются общего предупреждения об опасности незнакомца в видеороликах, заканчивающегося призывом к действию для родителей, чтобы загрузить приложение.

Беглое прочтение положений и условий Houseparty заставит любого разумного эксперта заметить, что приложение не соответствует требованиям GDPR, не имеет родительского контроля и не претендует на права использовать все, что пользователи делятся в приложении. Это - наряду с контентом 18+ викторины - важно отметить родителям. Internet Matters оказывает медвежью услугу заинтересованным родителям по всему миру, предоставляя этот контент.

Internet Matters - не единственная служба, которая публикует обнадеживающие страницы в приложениях, которые не были должным образом изучены, но мы решили выделить их, поскольку со 2 апреля они по-прежнему вкладывают средства в продвижение вводящего в заблуждение контента , несмотря на, по крайней мере, один пользователь публично сообщает о проблемах.

Мы считаем, что подобные сервисы должны четко отображать шаги, которые они предпринимают при проверке приложений, и добавлять четкий отказ от ответственности, когда проверка была поверхностной и проводилась исключительно на основе маркетинговых материалов, а не анализа условий или самого продукта. Эти службы должны рассмотреть возможность отзыва своего контента после обновления продуктов и услуг, пока контент не сможет адекватно отражать текущее состояние приложения. (Руководство по вопросам Интернета в последний раз обновлялось 24 декабря 2019 года, однако Houseparty представила тесты примерно за 11 месяцев до января 2019 года.)

Отслеживание, отслеживание, везде ...

Как насчет легального, но неожиданного обмена личными данными? У Houseparty есть кое-что, что происходит здесь.

Риск незаконной кражи данных крайне низок. У материнской компании Houseparty есть четкие бизнес-модели, в которых это не предусмотрено, и их штаб-квартира находится в стране с приличными законами о защите данных. Houseparty принадлежит Epic Games . Нет никаких доказательств того, что это могло бы украсть данные пользователя, и быть пойманным на этом было бы контрпродуктивно.

Houseparty не является платным продуктом, и его модель доходов в настоящее время не ясна . Это хорошая причина опасаться того, что приложение может отслеживать. Тем не менее, в настоящее время мы не видим никаких доказательств того, что Houseparty был взломан или утечка информации.

Анекдотов в Твиттере недостаточно ...

В Твиттере есть множество сообщений о том, что их аккаунты в банках были разграблены, аккаунты Spotify были доступны, или электронные письма стали доступны после использования Houseparty, но все эти отчеты являются неподтвержденными и ненадежными. Многие люди используют легко угадываемые пароли и постоянно подвергаются хакерским атакам: журнал Security Magazine освещал исследование Университета Мэриленда, в котором предлагалось атаковать хакеров каждые 39 секунд, а данные Gemalto предполагают кражу 291 записи каждую секунду .

Чтобы продемонстрировать это: безопасность Apple, как правило, надежна, но время от времени все еще есть предположение, что Apple взломали ; достаточно легко найти любое количество чудаков в Твиттере, утверждающих это в любое время. Анекдотические обвинения не доказывают проступок.

В то же время, Houseparty утверждают, что сторонние организуют клеветническую кампанию против них:

Мы расследуем признаки того, что недавние слухи о взломе были распространены платной коммерческой клеветнической кампанией, чтобы нанести вред Houseparty. Мы предлагаем вознаграждение в размере 1 000 000 долларов США первому человеку, который предоставит подтверждение такой кампании по адресу bounty@houseparty.com.

- Houseparty (@houseparty) 31 марта 2020 г.

Houseparty также сказал :

Все учетные записи Houseparty безопасны - сервис безопасен, никогда не был взломан и не собирает пароли для других сайтов

В некоторой степени, однако, это игра слов: любой разумный продукт не будет собирать или хранить пароли , вместо этого они используют токены аутентификации . Там, где пользователи связывают свои учетные записи Houseparty с Facebook, Spotify или Snapchat, приложение Houseparty сможет получить доступ и потенциально хранить токены аутентификации или обмена данными для этих учетных записей, и нет никаких указаний на то, хранятся они или нет. В хранении токенов такого рода нет ничего необычного , но есть еще важный вопрос: синхронизирует ли Houseparty контакты с Facebook исключительно при регистрации, или же они сохраняют токен аутентификации для Facebook, чтобы он мог синхронизировать контакты или другие данные учетной записи в будущее? Их твит не исключает этого.

Безопасность Houseparty и использование данных более подробно

ESET посмотрел на приложение Houseparty для Android и предположил, что оно выглядит нормально . Мы схожим образом взглянули на приложение Houseparty для iOS и на то, как оно хранит данные, а также на некоторые контракты и юридические аспекты, касающиеся сервиса. Мы выделили несколько заметных находок из приложения com.herzick.houseparty , так как оно называется:

• Houseparty в настоящее время интегрируется с Facebook, как и Zoom. Интеграция включает в себя обмен некоторыми данными об использовании с Facebook. Якобы там можно включить приглашение своих друзей на Facebook, и отслеживание является неизбежным следствием, если пользователи решат подключиться к Facebook.
• Houseparty хранит и кэширует адреса каналов для всех видов данных конфигурации на устройствах конечных пользователей. Например, он включает в себя путь ко всем вопросам и ответам для викторины Houseparty «забавный факт». Похоже, что остается на телефоне каждого пользователя, наряду с кучей других каналов.
• Приложение Houseparty кэширует некоторые «фейсмейлы», которые получают пользователи. Их можно найти в Library/Application Support/Prefetch-Facemails , и они хранятся в формате mp4 . (Если вам интересно посмотреть на себя, этот документ должен помочь.)
• О телефоне пользователя хранится достаточное количество информации для отслеживания, скорее всего, для снятия отпечатков пальцев на устройстве. КакNetflixHouseparty хранит пользовательский агент устройства (т.е.Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148) но также сохраняет такие значения, какbnc_device_fingerprint_id, которые помогают им идентифицировать устройства, использующие сервис с течением времени.повсеместная практикачто Apple неоднократно подавляла, а Houseparty, похоже, не использует рекомендуемыеIDFA/IDFVидентификаторы отслеживания, которые Apple предоставляет. Предположительно, потому что они притупляют эффективность отслеживания!
• Удивительно, но резервные копии приложения Houseparty включают в себя полную базу данных регистрации / отслеживания для приложения. Это включает в себя только собственные данные пользователя, но это действительно многословно и включает в себя все виды подробных данных, которые не должны быть в резервной копии.

Мы подозреваем, что Houseparty не пройдёт сторонний аудит безопасности, если не будут отмечены хотя бы некоторые из этих точек, поэтому тот факт, что они продолжают присутствовать в текущей версии приложения, заставляет нас нервничать. Подтверждение того, что Houseparty провела сторонний аудит безопасности, было бы обнадеживающим.

Глядя на мелкий шрифт ...

Наконец, обращаясь к политике конфиденциальности Houseparty и юридически , мы увидели несколько вещей, которые не очень подходили. Во-первых, нет ответственной политики раскрытия информации. Это был бы документ, который описывает, как компания реагирует, и когда исследователь безопасности обнаруживает проблему. Обычно такие политики включают вознаграждение за безопасность для искателя на том основании, что он ответственно раскрывает проблему компании, чтобы ее можно было устранить.

Из-за отсутствия такой политики исследователи безопасности, как правило, вынуждены отправлять сообщения в службу поддержки клиентов по электронной почте, когда они находят проблемы, и общеизвестно, что через службу поддержки клиентов трудно связаться с командой безопасности компании. Если бы во время поиска мы нашли что-то действительно ужасное в приложении, политика раскрытия информации позволила бы нам легко сообщать о том, что мы нашли. (Для справки, вот политика раскрытия информации Reincubate .)

Кажется поистине удивительным, что Houseparty предложит вознаграждение в размере 1 млн. Долл. (Без каких-либо четких условий!), Чтобы найти доказательства клеветнической кампании по их безопасности, но не рекламировать какую-либо награду за ответственное раскрытие проблем безопасности на платформе .

Существуют некоторые относящиеся к аспектам положения и условия Houseparty: вообще нет упоминаний о Safe Harbor / Privacy Shield или GDPR, что указывает на небрежное отношение к защите пользователей и потенциально может привести к юридическим трудностям с европейскими регуляторами защиты данных. , Более того, отсутствие соответствия GDPR может также означать, что предприятия, использующие такие услуги, сами нарушают законодательство о защите данных, что может подвергать их вызовам со стороны их собственных клиентов. Одним из признаков того, что GDPR не рассматривался, является то, что пользователи могут выбрать только отказ от маркетинга - это является нарушением европейского законодательства о GDPR, которое требует, чтобы такие варианты были «подписаны» в момент регистрации. Также нет возможности отказаться от сбора других данных.

Условия Houseparty включают в себя следующее:

Вы соглашаетесь с тем, что Life on Air может свободно использовать содержимое любых сообщений, переданных вами через Сервисы, включая любые идеи, изобретения, концепции, методы или ноу-хау, раскрытые в них, для любых целей, включая разработку, производство и / или маркетинг товаров или услуг

Мы не юристы, но, похоже, это поднимает вопросы интеллектуальной собственности: если вы говорите о своей бизнес-идее или продукте, Houseparty может свободно принять все, что вы обсудили, либо для разработки собственного продукта, либо для продажи информации третьим сторонам. , Это также предполагает, что служба может сохранять некоторый контент сообщений : если это так, то это может противоречить европейским законам о мониторинге сообщений.

Их условия также включают эту фразу, которая предлагает пользователям отправить электронное письмо Houseparty, чтобы отказаться от нежелательных маркетинговых сообщений:

Лица, которые предоставляют нам Личную информацию или чью Личную информацию мы получаем от третьих лиц, могут получать от нас периодические электронные письма, информационные бюллетени, почтовые рассылки, push-уведомления или текстовые сообщения с информацией о продуктах и услугах наших или наших деловых партнеров или предстоящих специальных предложениях. / события, которые мы считаем, могут представлять интерес. Мы предлагаем возможность отказаться от этих сообщений для частного лица бесплатно, следуя инструкциям в Разделе 5 ниже.

Все эти проблемы конфиденциальности Houseparty резко контрастируют с установленными приложениями для обмена сообщениями, такими как FaceTime, iMessage, WhatsApp, Zoom и Slack. WhatsApp имеет отличный набор документации и политик конфиденциальности. Даже Zoom заявляет, что «Zoom не контролирует и не использует контент клиентов по любой причине, кроме как в рамках предоставления наших услуг. Zoom никому не продает контент клиентов и не использует его в рекламных целях ». Slack ясно дает понять, что они используют Данные клиента только для предоставления услуги и сохраняют ее в соответствии с пожеланиями клиента (например, некоторые бизнес-планы обеспечивают архивирование).

Что делать, если вы беспокоитесь о своей безопасности

Если вы беспокоитесь о своей безопасности в Интернете или об использовании Houseparty, мы рекомендуем вам предпринять следующие шаги.

• Деинсталляции Houseparty недостаточно, чтобы удалить ваши данные из их сервиса. Их служба по-прежнему может хранить ваш номер телефона, имя, загруженный список контактов и токены аутентификации. Их условия предлагают связаться с hello@houseparty.com, чтобы отказаться от маркетинга и удалить ваши данные. Как ни странно, электронная почта data-requests@lifeonair.com цитируется позже, но не для запросов данных!
• Можно использовать Houseparty, не сообщая ничего, кроме вашего номера телефона. Интеграции Facebook, Snapchat и Spotify являются необязательными, как и загрузка списка контактов. Мы рекомендуем вам избегать подобных действий и добавлять друзей вручную.
• При запуске Houseparty пользователи должны знать, что посетители могут зайти в комнату в любое время. Другие пользователи будут уведомлены, что вы онлайн, как только вы откроете приложение. Осторожно! По умолчанию комнаты не заперты, что означает, что любой, кто добавил, может зайти. Есть множество твитов о том, что пользователи удивляются, когда их босс заглядывает в их Houseparty, пока они были в ванной! Вы можете изменить это в настройках Houseparty.
• Как и в случае с любыми онлайн-сервисами, мы рекомендуем принять простой набор мер предосторожности для обеспечения безопасности в сети. Мы суммируем их в конце этой статьи и выкладываем всесторонние советы по безопасности для пользователей Apple здесь .