चीन स्थित कंपनी के साथ संबंधों का खुलासा होने के बाद लोकप्रिय क्लबहाउस ऐप पर सुरक्षा चिंताएं पैदा होती हैं

42
चीन-स्थित-कंपनी-के-साथ-संबंधों-का-खुलासा-होने-के-बाद-लोकप्रिय-क्लबहाउस-ऐप-पर-सुरक्षा-चिंताएं-पैदा-होती-हैं

स्टैनफोर्ड इंटरनेट ऑब्जर्वेटरी ने आरोप लगाया कि चीनी सरकार के पास क्लब हाउस के ऑडियो डेटा तक पहुंच हो सकती है। यहां बताया गया है कि उपयोगकर्ताओं को क्या पता होना चाहिए।

” href=”https://www.techrepublic.com/a/hub/i/r//1989/208321//93ए9एफबी

-e3a3-4bab-bff6-इ34aa2/आकार बदलें/450x/ ab9f9eed3bइ208321/isockhalfpoint.jpg” target=”_blank”>

गेटी इमेजेज/आईस्टॉकफोटो

स्टैनफोर्ड इंटरनेट ऑब्जर्वेटरी और मैक्एफ़ी की एडवांस्ड थ्रेट रिसर्च टीम की रिपोर्ट के अनुसार, लोकप्रिय नए सोशल मीडिया ऐप क्लबहाउस पर ऑडियो डेटा की सुरक्षा के बारे में चिंता व्यक्त की गई है।

स्टैनफोर्ड का फरवरी को साइबर नीति केंद्र की पुष्टि

  • कि शंघाई स्थित कंपनी अगोरा के उपकरण क्लबहाउस की रीढ़ के रूप में काम कर रहे थे, जिसने हाल के महीनों में एलोन मस्क, ओपरा, एस्टन कचर और अन्य व्यापारिक नेताओं जैसे सेलिब्रिटी वक्ताओं की बदौलत हजारों नए उपयोगकर्ता प्राप्त किए हैं।

    इसके अतिरिक्त, वेधशाला ने पाया कि “एक उपयोगकर्ता का अद्वितीय क्लबहाउस आईडी नंबर और चैटरूम आईडी सादे पाठ में प्रसारित किया जाता है, और अगोरा के पास उपयोगकर्ताओं के कच्चे ऑडियो तक पहुंच की संभावना होगी, संभावित रूप से चीनी सरकार तक पहुंच प्रदान करना। ”

    ले देख: पहचान की चोरी से सुरक्षा नीति (TechRepublic Premium)

    “कम से कम एक उदाहरण में, SIO ने देखा कि कमरे के मेटाडेटा को सर्वर से रिले किया जा रहा है जिसे हम मानते हैं कि इसमें होस्ट किया गया है , और चीनी संस्थाओं द्वारा प्रबंधित सर्वरों के लिए ऑडियो और एनीकास्ट के माध्यम से दुनिया भर में वितरित किया जाता है, “रिपोर्ट में कहा गया है कि खुलासे विशेष रूप से चीन में उपयोगकर्ताओं के लिए संबंधित थे, जो ऐप पर सरकार के परिणामों का सामना कर सकते हैं।

    क्लबहाउस ने टेक रिपब्लिक से टिप्पणी के अनुरोधों का जवाब नहीं दिया, लेकिन पहले स्टैनफोर्ड इंटरनेट ऑब्जर्वेटरी को बताया कि डेटा गोपनीयता उल्लंघनों के बारे में चिंताओं के कारण, कंपनी ने शुरू में चीनी उपयोगकर्ताओं से ऐप पर प्रतिबंध लगा दिया था। लेकिन चीन में लोगों को एक समाधान मिला और शिनजियांग में उइघुर एकाग्रता शिविरों जैसे चीनी सरकार द्वारा संवेदनशील माने जाने वाले मुद्दों पर चर्चा करने के लिए ऐप का उपयोग कर रहे थे,

  • ताइवान और हांगकांग में तियानमेन स्क्वायर विरोध के साथ-साथ विरोध प्रदर्शन

    चीन ने आधिकारिक तौर पर 8 फरवरी को ऐप पर प्रतिबंध लगा दिया और क्लबहाउस ने कहा कि यह ऐप में बदलाव कर रहा है जो “अतिरिक्त एन्क्रिप्शन और ब्लॉक जोड़ते हैं ताकि क्लबहाउस क्लाइंट्स को कभी भी चिन को पिंग्स ट्रांसमिट करने से रोका जा सके” ese सर्वर।” उन्होंने बाहरी डेटा सुरक्षा ऑडिट करने की भी कसम खाई।

    लेकिन इससे पहले कि क्लबहाउस उपयोगकर्ता बस सकें, बाद के दिनों में ऐप के डेटा के अन्य संभावित उल्लंघनों का पता चला। McAfee की एडवांस्ड थ्रेट रिसर्च टीम ने Agora में और अधिक कमजोरियां पाईं जिन्हें कंपनी ने अंततः ठीक कर दिया।

    क्लबहाउस की प्रवक्ता रीमा बहनासी ने फरवरी को ब्लूमबर्ग न्यूज को स्वीकार किया। कि किसी ने पिछले सप्ताह के अंत में क्लबहाउस से ऑडियो को एक्सेस करने और स्ट्रीम करने का एक तरीका ढूंढ लिया, जिससे ऐप के हालिया सुरक्षा अपडेट के बारे में और सवाल उठे।

    उपयोगकर्ता को प्रतिबंधित कर दिया गया था और बहनसी ने कहा कि ऐप ने और भी अधिक सुरक्षा अपडेट किए हैं, लेकिन स्टैनफोर्ड इंटरनेट ऑब्जर्वेटरी के निदेशक एलेक्स स्टैमोस ने ब्लूमबर्ग न्यूज को बताया कि क्लबहाउस “कहीं भी आयोजित बातचीत के लिए कोई गोपनीयता वादा नहीं दे सकता है। दुनिया भर में।”

    स्टैनफोर्ड इंटरनेट ऑब्जर्वेटरी रिपोर्ट के अनुसार, अगोरा “नट्स-एंड-बोल्ट इन्फ्रास्ट्रक्चर प्रदान करता है ताकि क्लबहाउस जैसे अन्य ऐप इंटरफ़ेस डिज़ाइन, विशिष्ट कार्यात्मकताओं और समग्र उपयोगकर्ता अनुभव पर ध्यान केंद्रित कर सकें। ” Agora का उपयोग करने वाले अन्य ऐप्स में eHarmony, Plenty of Fish और बहुत कुछ शामिल हैं।

    “अगोरा के प्लेटफ़ॉर्म दस्तावेज़ीकरण के SIO विश्लेषण से यह भी पता चलता है कि Agora के पास क्लबहाउस के कच्चे ऑडियो ट्रैफ़िक तक पहुंच होने की संभावना है। एंड-टू- अंत एन्क्रिप्शन (E2EE), कि ऑडियो को अगोरा द्वारा इंटरसेप्ट, ट्रांसक्राइब और अन्यथा संग्रहीत किया जा सकता है,” रिपोर्ट में कहा गया है।

    “यदि चीनी सरकार ने निर्धारित किया है कि एक ऑडियो संदेश राष्ट्रीय सुरक्षा को खतरे में डालता है, तो अगोरा को कानूनी रूप से सरकार को इसे खोजने और संग्रहीत करने में सहायता करने की आवश्यकता होगी। तियानमेन विरोध, शिनजियांग शिविर, या हांगकांग के बारे में बातचीत विरोध प्रदर्शन आपराधिक गतिविधि के रूप में योग्य हो सकते हैं। वे पहले भी योग्य हो चुके हैं।”

    आरोपों के बारे में स्टैनफोर्ड इंटरनेट ऑब्जर्वेटरी द्वारा दबाए जाने पर, अगोरा ने ऐप से किसी भी ऑडियो या मेटाडेटा को संग्रहीत करने से इनकार किया, जिससे चीनी सरकार के लिए कानूनी रूप से अनुरोध करना असंभव हो गया। क्लबहाउस अपनी गोपनीयता नीति में स्वीकार करता है कि यह घृणास्पद भाषण, पीडोफिलिया या आतंकवाद के विशिष्ट उदाहरणों को कानून बनाने के लिए कुछ ऑडियो डेटा को संक्षिप्त रूप से संग्रहीत करता है।

    लेकिन रिपोर्ट में कहा गया है कि चीनी सरकार के लिए नेटवर्क को स्पष्ट रूप से टैप करना और किसी भी ऑडियो को स्वयं रिकॉर्ड करना संभव था, यह कहते हुए कि कोई भी अनएन्क्रिप्टेड डेटा जो चीन में सर्वर के माध्यम से अपना रास्ता बनाता है “संभवतः सुलभ होगा चीनी सरकार।”

    “यह देखते हुए कि एसआईओ ने देखा कि कमरे के मेटाडेटा को सर्वर पर प्रेषित किया जा रहा है, जिसे हम पीआरसी में होस्ट करने के लिए मानते हैं, चीनी सरकार संभवतः अगोरा के नेटवर्क तक पहुंच के बिना मेटाडेटा एकत्र कर सकती है,” रिपोर्ट में कहा गया है।

    McAfee में एडवांस्ड थ्रेट रिसर्च के प्रमुख स्टीव पोवोनी ने कहा कि क्लबहाउस ने उनके द्वारा खोजी गई भेद्यता को ठीक कर लिया है और कहा है कि कंपनियों को शोधकर्ताओं को गले लगाकर और प्रोत्साहित करने और यहां तक ​​कि अधिग्रहण करने में सक्रिय होकर समुदाय की शक्ति का लाभ उठाने की आवश्यकता है जिम्मेदार प्रकटीकरण के माध्यम से कमजोरियां।

    “इसके अतिरिक्त, उनके पास एक ठोस एंड-टू-एंड सुरक्षित विकास जीवनचक्र, तृतीय पक्ष परीक्षण और सत्यापन, और बार-बार कोड ऑडिट और आंतरिक सुरक्षा समीक्षा होनी चाहिए,” पोवोल्नी ने कहा।

    साइबर सुरक्षा विशेषज्ञ खुलासे के प्रभाव पर असहमत हैं

    जब क्लब हाउस के बारे में पूछा गया और क्या यह उपयोगकर्ताओं के लिए सुरक्षित।

    कुछ ने कहा कि स्टैनफोर्ड इंटरनेट ऑब्जर्वेटरी और अन्य को मिली चीजें गंभीर थीं और संवेदनशील बातचीत के लिए ऐप का उपयोग करने वाले किसी भी व्यक्ति को चिंतित होना चाहिए।

    लेकिन अन्य ने कहा कि रिपोर्ट काल्पनिक से भरी हुई थी और केवल चीन में लोगों के लिए महत्वपूर्ण समस्याओं का प्रतिनिधित्व करेगी, जो अब वैसे भी ऐप का उपयोग नहीं कर सकते हैं।

    “स्टैनफोर्ड लेख का विश्लेषण इंगित करता है कि डेटा सुरक्षा और गोपनीयता के मुद्दों के एकदम सही तूफान के लिए बहुत सारे ‘ifs’ मौजूद होने चाहिए। कहानी का दिलचस्प हिस्सा वास्तव में नीचे है क्लबहाउस का आधिकारिक बयान यह है कि उन्होंने गोपनीयता के मुद्दों के कारण, चीन में क्लबहाउस उपलब्ध कराने के लिए नहीं चुना, लेकिन उपयोगकर्ताओं को एक समाधान मिला, “एलेग्रो सॉल्यूशंस के सीईओ करेन वॉल्श ने कहा।

    “कई मायनों में, यह उसी तरह है जैसे उपयोगकर्ता ऑपरेटिंग सिस्टम की जड़ तक पूर्ण पहुंच प्राप्त करने और अतिरिक्त क्षमताओं तक पहुंचने के लिए स्मार्टफोन को ‘जेलब्रेक’ करेंगे। यह प्रक्रिया, जबकि यह देती है उपयोगकर्ता अतिरिक्त कार्यात्मकता, डिवाइस के सुरक्षा नियंत्रणों से भी समझौता करता है। लोगों की ऐप को ‘जेलब्रेक’ करने की इच्छा, या कंपनी के ऐप वितरण नियंत्रणों के इर्द-गिर्द एक रास्ता खोजने की यह इच्छा दर्शाती है कि अंतिम-उपयोगकर्ता अपनी सुरक्षा और गोपनीयता को कैसे प्रभावित कर सकते हैं। क्या ये उपयोगकर्ता हैं इसे महसूस किया या नहीं, वे वास्तव में चीनी सरकार को छिपाने से रोकने के इरादे से नियंत्रण को कम कर रहे थे।”

    जबकि क्लब हाउस के लिए विशिष्ट मुद्दों को सुलझा लिया गया है, अन्य सुरक्षा विशेषज्ञों ने सवाल किया कि यह आगे एक बड़ी समस्या होगी क्योंकि देशों के बीच लड़ाई इंटरनेट पर तेजी से बढ़ रही है।

    सोटेरो के सीईओ पुरंदर दास के अनुसार, सेवा प्रदाता को अपने ग्राहकों के डेटा तक पहुंच छोड़ने के लिए मजबूर होने का संभावित जोखिम वास्तविक है।

    चाहे ऐसा करने का दबाव सरकार या किसी अन्य पार्टी से हो, यह सेवा प्रदाताओं और प्लेटफॉर्म ऑपरेटरों से जुड़ा एक वास्तविक जोखिम है, दास ने कहा, क्लब हाउस/चीन की स्थिति की तुलना उस स्थिति से की जा रही है जिसका सामना करना पड़ रहा है। जीडीपीआर के साथ यूरोपीय संघ।

    यूरोपीय संघ को अमेरिका के साथ गोपनीयता कवच समझौते को निलंबित करने के लिए मजबूर किया गया था क्योंकि अमेरिकी प्रदाताओं को यूरोपीय संघ के उपभोक्ता डेटा को अमेरिकी सरकार को सौंपने के लिए मजबूर किया जा सकता है।

    “एक सेवा प्रदाता के दृष्टिकोण से, बहुत बार, डेटा का मुद्रीकरण करने का अवसर ही उन्हें एक मुफ्त सेवा प्रदान करने में सक्षम बनाता है। ऐसे डेटा के व्यावसायिक उपयोग को अनदेखा करना, उपभोक्ता की गोपनीयता का उल्लंघन है गंभीर मुद्दा, ”दास ने कहा।

    “सेवा प्रदाताओं का दोहरा दृष्टिकोण उपभोक्ता की स्पष्ट स्वीकृति के बिना डेटा का उपयोग या देखने में सक्षम नहीं है, जो विनियमन के साथ युग्मित है, जो एकत्रित डेटा के स्वामित्व को उपभोक्ता द्वारा बनाए रखने में सक्षम बनाता है एक रास्ता आगे। मेरा मानना ​​​​है कि अधिकांश सेवा प्रदाता अंततः सहमत होंगे कि एक सक्षम प्रक्रिया, जहां वे अभी भी डेटा का व्यावसायीकरण कर सकते हैं लेकिन अपने ग्राहकों के विश्वास से समझौता करने की स्थिति में नहीं हैं, एक अच्छा है।”

    साइबर सिक्योरिटी कंपनी लुकआउट के एक इंजीनियर बुरक अगका के अनुसार, यह चिंताजनक था कि क्लबहाउस जैसे प्लेटफॉर्म मोटे डेटा ट्रांसफर प्रथाओं का लाभ उठाने पर बनाए गए हैं, जिन्हें उपयोगकर्ता इन ऐप्स को इंस्टॉल करते समय स्वीकार करते हैं।

    Agca ने पिछले साल TikTok को घेरने वाले विवाद के समानांतर आकर्षित किया जब पूर्व राष्ट्रपति डोनाल्ड ट्रम्प ने ऐप को प्रतिबंधित करने की धमकी दी क्योंकि इसकी मूल कंपनी, बाइटडांस, चीन में स्थित है।

    क्लबहाउस की तरह, बाइटडांस ने कभी भी चीनी सरकार के साथ किसी भी जानकारी को साझा करने से इनकार किया, लेकिन कुछ विशेषज्ञ अनुमति या अधिसूचना पर सवाल उठाते हैं, अगर सरकारी अधिकारी प्लेटफॉर्म से डेटा चाहते हैं कि चीन का इंटरनेट कैसे स्थापित किया जाता है।

    “टिकटॉक और क्लब हाउस दोनों के मामले में, हम सभी जानते हैं कि अगर चीनी सरकार वास्तव में कुछ चाहती है, तो वे इसे प्राप्त करेंगे। इस मामले में, डेवलपर्स ने डिफ़ॉल्ट रूप से ऐप ट्रांसपोर्ट सुरक्षा को अक्षम कर दिया है। इस ऐप के लिए, जिसका अर्थ है असुरक्षित ट्रैफ़िक और कमजोर एन्क्रिप्शन मानकों का उपयोग किया जा सकता है। ऐप के विश्लेषण का नेटवर्क आरेख स्पष्ट रूप से चीनी सर्वरों के साथ हार्डकोडेड संचार दिखाता है, “अगका ने कहा।

    “यह डेटा सर्वोत्तम प्रथाओं से बहुत दूर है जब उपयोगकर्ता डेटा को चीन में स्थित बायोमेट्रिक, वॉयस और डेटा एनालिटिक्स कंपनियों को भेजा जा रहा है। आईटी और सुरक्षा टीमों को डेटा हैंडलिंग को समझने के लिए एक तरीके की आवश्यकता है और किसी कर्मचारी डिवाइस पर किसी भी ऐप के स्थानांतरण व्यवहार। कुछ ऐप अनुमतियां जो व्यक्तिगत अंतिम-उपयोगकर्ता के लिए अहानिकर लगती हैं, कॉर्पोरेट अर्थों में दुर्भावनापूर्ण हो सकती हैं और अनुपालन नीतियों का उल्लंघन कर सकती हैं।”

    इतना अधिक और इतनी जल्दी

    जब उपयोगकर्ता जानकारी की रक्षा करने की बात आती है तो क्लबहाउस की बार-बार ठोकरें खाने वाले ऐप्स के बीच एक आम घटना है जो महत्वपूर्ण कर्षण प्राप्त करते हैं और बड़े उपयोगकर्ता आधार जल्दी।

    ऑडियो चैट ऐप मई में बनाया गया था 2020 और जनवरी तक 1 बिलियन डॉलर से अधिक के मूल्यांकन पर पहुंच गया था। यह ऐप्पल के ऐप स्टोर में सबसे अधिक डाउनलोड किए जाने वाले ऐप में से एक बन गया है, लेकिन पहले से ही जर्मनी में नियामकों से डेटा संग्रह प्रथाओं और कुछ विशेषताओं पर जांच कर रहा है, जिसमें उपयोगकर्ता अपनी पता पुस्तिकाएं अपलोड करते हैं।

    गठबंधन में खतरे की खुफिया प्रमुख जेरेमी टर्नर ने कहा कि क्लबहाउस ने पिछले कई महीनों में तेजी से धन और लोकप्रियता हासिल की है, लेकिन उस कम समय में यह भी साबित कर दिया है कि उपभोक्ताओं के साथ डेटा सुरक्षा और पारदर्शिता की कमी है। उन्होंने कहा कि डेवलपर्स अक्सर प्रौद्योगिकी के लाभों पर ध्यान केंद्रित करते हैं, न कि संभावित छिद्रों पर।

    “जब एक तकनीक का मूल्य इतना महत्वपूर्ण होता है और इतनी तेजी से अपनाना पड़ता है, तो जोखिम बाद में आते हैं। स्टार्टअप को सुरक्षा और गोपनीयता के विचारों के मुकाबले तेजी से आगे बढ़ने से सावधान रहना चाहिए,” टर्नर ने कहा .

    “जब डेवलपर्स नई तकनीक को शुरुआती अपनाने वालों के हाथों में धकेलते हैं, तो जोखिमों को अनदेखा करना या कल के लिए एक समस्या के रूप में सोचना आसान होता है, जब वास्तव में उन्हें डेटा सुरक्षा उपायों को पूरी तरह से विकसित करना चाहिए जैसा कि आप नए उपयोगकर्ता अनुभव विकसित करें। प्रारंभिक चरण के विकास के जोखिम हमेशा क्षितिज से अधिक प्रतीत होते हैं, जब तक कि वे नहीं होते।”

    साइबर सुरक्षा इनसाइडर न्यूजलेटर istockhalfpoint.jpg

    नवीनतम साइबर सुरक्षा समाचारों, समाधानों और सर्वोत्तम प्रथाओं के बारे में जानकारी रखते हुए अपने संगठन की आईटी सुरक्षा सुरक्षा को मजबूत करें। वितरित मंगलवार और गुरुवार

    आज साइन अप करें

    यह भी देखें

      साइबर सुरक्षा समर्थक कैसे बनें : एक चीट शीट (TechRepublic)

      सोशल इंजीनियरिंग: व्यावसायिक पेशेवरों के लिए एक धोखा पत्र (मुफ्त पीडीएफ) (TechRepublic)

      छाया आईटी नीति (TechRepublic .) प्रीमियम)

      ऑनलाइन सुरक्षा 01 : हैकर्स और जासूसों से आपकी गोपनीयता की रक्षा करने के लिए टिप्स (ZDNet)

    ) साइबर सुरक्षा और साइबर युद्ध: अधिक अवश्य पढ़ें कवरेज (फ्लिपबोर्ड पर TechRepublic)