视频聊天安全性:谁在您的Houseparty中?
随着世界各地的人们在家里花费更多的时间并与他们的朋友和同事在线互动,在过去的几个月中,诸如Houseparty之类的视频聊天应用程序的用户数量显着增加。当公司迅速发展时,其用户保护通常会落在后面。内置于平台中的长期通信应用程序(如WhatsApp,iMessage和FaceTime)往往很健壮,因为数十亿用户已在使用它们,并且进行了大量的检查和测试。
较小的,更新的视频平台尚未通过这种方式进行检查,最近,使用某些视频应用程序的安全性受到质疑。我们已经详细介绍了公司如何合法地收集您的数据 , 如何确保在线安全以及在帐户遭到破坏时应采取的步骤 。在这篇文章中,我将简要介绍Houseparty,使用它会带来的风险,以及您可以通过简单的步骤来避免共享自己想保密的任何事情。
所有用户面临的4种风险:数据盗窃,数据共享或跟踪以及安全性较弱
一般来说,用户使用视频应用程序会面临以下四种风险:
- 内容不当和父母控制薄弱。
- 直接从应用程序公司蓄意而非法的数据盗窃。
- 故意共享或跟踪合法的数据, 但往往出乎意料 。
- 其他人通过对应用程序安全性的疏忽或由于应用程序安全性薄弱而导致的黑客攻击来获取您的个人信息。
让我们看一下每种情况发生的可能性。
Houseparty的主页将应用程序作为社交网络进行销售,但是缺少用户可能会期望社交网络提供的家长控制功能。该应用在Google Play商店中的促销文字将其描述为“确实是与亲朋好友进行互动的下一个最好的选择”。这几乎是正确的:对于使用Houseparty的孩子来说,该应用程序就像是在外面闲逛,但与一个令人毛骨悚然的大人问他们有关性的问题。
注册Houseparty时,所有用户都必须提供其出生日期,并且该应用程序在运行时应随时保留该信息:它将用户的出生日期发送到该应用程序定期使用的跟踪产品。 Houseparty的最新功能-以及其获利计划的关键 -是一系列综合测验,无需理会用户年龄。
选择要玩的测验时,会向所有用户显示相同的测验列表,其中18个以上的“ S语术语”测验在列表中排名第三-即使是未成年人也是如此。我们会避免在此博客上发布成人内容,因此我们将不做详细介绍,但测验包括一系列对儿童不利的内容,包括亵渎短语的缩写,脱衣舞俱乐部的真实情况,毒品参考从海洛因到大麻,以及对性和生殖器的各种描述。哦,还有Jeffrey Dahmer的一些内容。
Houseparty应用程序在Apple的App Store中被标记为适合“ 12+”,而在Google Play商店中的广告则被标记为“ Teen” 。该应用程序没有集成的家长控制功能。
许多父母有理由担心自己的孩子在网上和应用程序中接触了哪些东西,许多网站都在审查应用程序并提供此指导。在英国,非营利性Internet事务在BT,Sky和其他公司的支持下提供了这样的服务。该组织目前正在大力推广关于Houseparty的指南,并解释说与行业,政府和学校共同提供了此指南。
这样的服务对于父母来说是重要的资源,但是对于Internet而言,似乎很少或没有进行尽职调查。他们给父母的建议非常有限,很大程度上坚持了有关视频中陌生人危险的一般警告,最后是呼吁父母采取行动以下载该应用程序。
粗略阅读Houseparty的条款和条件会导致任何合理的专家注意到该应用程序不符合GDPR,缺乏父母控制并且声称有权使用用户在该应用程序上共享的任何内容。这与18项以上的测验内容一起,对于举报父母很重要。 Internet事务通过提供此内容,正在积极地为世界各地的有关父母带来伤害。
互联网重要的是不公布欣慰的是没有得到充分审议上的应用程序页面的唯一服务,但我们选择以突出他们,因为,作为4月2日的,他们仍然在宣传误导性内容的投资 ,尽管至少一位用户公开报告问题。
我们认为,这样的服务应在审核应用程序时突出显示其所采取的步骤,并添加明确的免责声明,即审核是肤浅的,仅由营销材料进行,而不是对条款或产品本身进行审核。这些服务应在产品和服务更新后考虑撤回其内容,直到内容可以充分反映应用程序的当前状态。 (Internet Matters的指南最近一次更新是在2019年12月24日,但是Houseparty在2019年1 月之前的11个月引入了测验。)
追踪,追踪,无处不在...
关于合法(但出乎意料)的个人数据共享呢? Houseparty在这里发生了一些事情。
非法数据盗窃的风险极低。 Houseparty的母公司有不涉及此业务的明确业务模型,它们的总部设在拥有良好数据保护法律的国家/地区。 Houseparty 由Epic Games拥有 。没有证据表明它会窃取用户的数据,而被发现这样做会适得其反。
Houseparty不是付费产品,其收入模型目前尚不清楚 。这是对应用程序可能正在跟踪的内容提防的很好的理由。但是,就目前情况而言,我们还没有看到任何证据表明Houseparty被黑客入侵或泄漏了信息。
Twitter上的轶事还不够...
Twitter上有很多报告,声称用户遭到了搜查,访问了Spotify帐户或使用了Houseparty后提供了电子邮件,但这些报告都是轶事且不可靠。许多人使用易于猜测的密码并一直被黑客入侵:《安全杂志》报道了马里兰大学的一项研究,该研究表明黑客每39秒发动一次攻击,而金雅拓的数据表明, 每秒有291条记录被盗 。
为了证明这一点:苹果的安全性通常是坚如磐石的,但是仍然时不时有人暗示苹果已经被黑客入侵了 。随时可以在Twitter上找到任意数量的曲柄,声称这很容易。轶事指控并没有证明是错误的。
同时,Houseparty声称第三方正在策划针对他们的诽谤运动:
我们正在调查有迹象表明,最近的黑客谣言是通过有偿商业涂片宣传活动来危害Houseparty的。我们将向第一个人提供$ 1,000,000的奖金,以向bounty@houseparty.com提供此类活动的证明。
— Houseparty(@houseparty) 2020年3月31日
Houseparty 也说过 :
所有Houseparty帐户都是安全的-服务是安全的,从未受到破坏,并且不会收集其他站点的密码
但是,在某种程度上,这就是文字游戏:任何合理的产品都不会收集或存储密码 ,而是使用身份验证令牌 。在用户将其Houseparty帐户与Facebook,Spotify或Snapchat连接起来的情况下,Houseparty应用程序将能够访问并可能存储这些帐户的身份验证或数据共享令牌,并且不会指示是否存储了这些令牌。存储此类令牌在本质上没有什么异常 ,但是仍然存在一个重要的问题:Houseparty仅在注册时将联系人与Facebook同步,还是将其存储在Facebook的身份验证令牌中,以便它可以同步联系人或其他帐户数据?未来?他们的推文并没有排除这一点。
Houseparty的安全性和数据使用更详细
ESET查看了Houseparty的Android应用程序,并建议它总体上还可以 。我们对Houseparty的iOS应用及其存储数据的方式进行了类似的研究,以及围绕该服务的一些合同和法律条款。我们重点介绍了来自com.herzick.houseparty
应用程序的一些值得注意的发现,它被称为:
- 就像Zoom一样,Houseparty目前已与Facebook集成。集成涉及与Facebook共享一些使用情况数据。从表面上看,它可以邀请一个Facebook朋友,如果用户选择与Facebook连接,则跟踪是不可避免的结果。
- Houseparty在最终用户设备上存储和缓存各种配置数据的提要地址。例如,它包括通往Houseparty的“有趣事实”琐事游戏的所有问题和答案的路径。它似乎与每个其他提要一起留在每个用户的电话上。
- Houseparty应用程序会缓存用户收到的一些“ Facemail”。它们可以在
Library/Application Support/Prefetch-Facemails
,并以mp4
格式存储。 (如果您好奇地寻找自己,则此文档应该会有所帮助。) - 有大量有关用户电话的跟踪信息被存储,最有可能用于设备指纹识别。就像奈飞,Houseparty存储设备的用户代理(即
Mozilla/5.0 (iPhone; CPU iPhone OS 13_4 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148
),但还保留诸如bnc_device_fingerprint_id
,这可以帮助他们随着时间的流逝使用服务识别设备。普遍实践苹果一再严厉打击,Houseparty似乎并没有使用推荐的IDFA
/IDFV
Apple提供的跟踪标识符。大概是因为它们削弱了跟踪的效果! - 令人惊讶的是,Houseparty应用程序的备份包括该应用程序的完整日志记录/跟踪数据库。它仅包含用户自己的数据,但确实很冗长,并且包含不应备份的各种粒度数据。
我们怀疑,如果至少不对其中的某些点进行标记,Houseparty就无法通过第三方安全审核,因此,这些问题继续存在于该应用程序的当前版本中,这一事实使我们感到紧张。确认Houseparty已经进行了第三方安全审核的说法将令人放心。
看着精美的印刷品...
最后,谈到Houseparty的隐私权政策和法律条款 ,我们看到了一些情况并不理想的情况。首先,没有负责任的披露政策。那将是一份文件,描述公司在安全研究人员发现问题时的反应以及何时采取行动。通常,此类策略包括对发现者的安全性奖励,其依据是他们负责任地向公司披露问题,以便可以解决问题。
缺乏这样的策略,安全研究人员通常会在发现问题时给客户服务团队发送电子邮件,而众所周知,很难通过客户服务与公司的安全团队联系。如果我们在查找应用程序时发现任何真正可怕的东西,那么披露政策将使我们有一个轻松报告发现内容的地方。 (供参考,这是Reincubate的披露政策 。)
Houseparty会提供100万美元的赏金(没有任何明确的条款或条件!)来寻找有关其安全的涂片运动的证据, 却不会为在平台上负责任地披露安全性问题提供任何奖励,这真是令人惊讶 。
Houseparty条款和条件涉及到一些方面:完全没有提及“安全港/隐私盾”或GDPR,这表明对用户保护采取随意的态度,并可能使他们在与欧洲数据保护监管机构的法律纠纷中。此外,缺乏GDPR合规性也可能意味着使用此类服务的企业本身违反了数据保护法规,这可能使它们面临来自其自身客户的挑战。未考虑GDPR的一个迹象是用户只能选择退出营销-这违反了欧洲的GDPR立法,后者要求在注册时“选择加入”此类选择。也没有办法退出其他数据收集。
Houseparty的条款包括以下内容:
您同意“生活在空中”可以出于任何目的(包括开发,制造和/或使用)自由使用您通过“服务”提交的任何通信的内容,包括其中披露的任何想法,发明,概念,技术或专有技术。营销商品或服务
我们不是律师,但是这似乎引发了知识产权问题:如果您谈论自己的经营理念或产品, Houseparty可以自由选择您讨论的任何内容来开发自己的产品或将信息出售给第三方。它还暗示该服务可能会保留一些消息内容 :如果这样,则可能会违反有关通信监视的欧洲法律。
他们的术语还包括此短语,该短语提示用户通过电子邮件向Houseparty发送电子邮件,以选择退出未经请求的营销传播:
向我们提供个人信息或我们从第三方获得个人信息的个人可能会定期收到我们的电子邮件,时事通讯,邮件,推送通知或短信,其中包含有关我们或我们业务合作伙伴的产品和服务的信息或即将推出的特价/我们认为可能会引起关注的事件。我们可以按照以下第5节中的指示,为个人免费拒绝这些通讯。
所有这些Houseparty隐私问题都与成熟的消息收发应用程序(如FaceTime,iMessage,WhatsApp,Zoom和Slack)形成鲜明对比。 WhatsApp拥有一套出色的隐私文档和政策 。甚至Zoom都表示 :“ Zoom除了出于提供我们服务的一部分之外,不会出于任何原因监视或使用客户的内容。 Zoom不会将客户内容出售给任何人或用于任何广告目的。” Slack清楚地表明,他们仅使用客户数据来提供服务,并且根据客户的意愿对其进行保留(例如,某些业务计划提供归档)。
如果您担心自己的安全怎么办
如果您担心要确保自己的在线安全或使用Houseparty,我们建议您执行以下步骤。
- 卸载Houseparty不足以从他们的服务中删除您的数据。他们的服务可能仍会存储您的电话号码,姓名,上载的联系人列表和身份验证令牌。他们的条款建议联系hello@houseparty.com以选择退出营销并删除您的详细信息。奇怪的是,稍后引用了电子邮件data-requests@lifeonair.com ,但没有引用数据!
- 使用Houseparty无需共享您的电话号码即可使用。 Facebook,Snapchat和Spotify集成都是可选的,上传联系人列表也是如此。我们建议您避免执行任何此类操作,而应手动添加朋友。
- 运行Houseparty时,用户应注意,访客可以随时进入房间。打开应用后,其他用户将收到通知,通知您您在线。谨防!默认情况下,房间未锁定,这意味着添加的任何人都可以进入。各种各样的推文都对用户感到惊讶,因为老板在洗澡时参加了Houseparty后感到惊讶!您可以在Houseparty的设置中更改此设置。
- 与任何在线服务一样,我们建议采取一系列简单的预防措施以确保在线安全。我们将在本文末尾总结这些内容 ,并在此处为Apple用户提供全面的安全性提示 。