ClubHouse, il nuovo social network che ha avuto un successo clamoroso nelle ultime settimane è attualmente oggetto di un importante tentativo di truffa: un falso sito sta offrendo una versione Android fasulla con all’interno un potente malware.
Utenti Android nella morsa di un virus
ClubHouse è attualmente disponibile solo per gli utenti iOS, ma gli hacker hanno recentemente creato un falso sito volto a raccogliere dati dagli utenti che vorrebbero utilizzare l’app su Android. Il sito in questione è joinclubhouse.mobi. Da non confondere con il vero sito joinclubhouse.com.
Quando qualcuno vuole scaricare l’app per Android e clicca su “Installa su Google Play“, viene immediatamente scaricato un malware. Chiamato BlackRock, è in grado di rubare i dati degli utenti mostrando una finta finestra di autenticazione all’applicazione.
Di conseguenza, i loro login, le password e altre informazioni personali sono corrotte. ESET specifica che BlackRock può anche rubare i dati seguendo una connessione a più di 450 diversi servizi online, ma anche intercettare i messaggi SMS al fine di bypassare l’autenticazione a due fattori. Ancora una volta, si consiglia prudenza.
ClubHouse condivide i dati personali degli utenti?
ClubHouse è attualmente disponibile solo su iOS, il che non gli impedisce di essere in fermento. Se il suo principio di funzionamento permette ai suoi utenti di conversare attraverso salotti audio chiamati “stanze”, resta il fatto che la sua capacità di proteggere i loro dati personali e l’attuazione delle norme del RGPD sono messi in discussione.
In effetti, diversi specialisti di cybersicurezza, puntano il dito contro le carenze di ClubHouse, che, come promemoria, opera su un sistema a inviti. Quando una persona riceve un invito da un membro, l’applicazione ha accesso diretto a tutti i suoi contatti per cercare altri utenti di Clubhouse.
Il problema è che molti utenti hanno riferito che i loro dati sono stati condivisi con altri utenti ClubHouse senza il loro consenso. “Quali sono esattamente i dati che Clubhouse estrae o condivide con altre applicazioni di social media? Non è chiaro“, ha detto Jonathan Fischbein, chief information security officer di Check Point Software.
Come la maggior parte delle app di questo tipo, Clubhouse permette anche la creazione di account utilizzando altre app come Facebook, Twitter e Instagram. Questo lascia un’altra porta aperta alla condivisione non consensuale dei dati personali.
Clubhouse: le stanza sono registrate?
Oltre a questo problema, un’altra questione che preoccupa la CNIL è la registrazione delle conversazioni audio. ClubHouse sostiene che le conversazioni audio non sono conservate. Almeno non a tempo indeterminato, e che le registrazioni possono essere utilizzate per moderare il discorso e persino migliorare la qualità dell’audio.
Detto questo, proprio come la condivisione dei dati degli utenti di ClubHouse, queste registrazioni violerebbero le regole del RGPD poiché non sarebbero fatte con il consenso esplicito dell’utente, come sottolinea il Solutions Engineering Manager di F5 Networks: “Questo è contrario al RGPD […] nessuna conversazione su questo social network è privata e ancor meno riservata.”
Quindi vi consigliamo di essere pazienti se volete entrare in ClubHouse. La domanda potrebbe essere conforme alle regole del RGPD. D’altra parte, la CNIL potrebbe usare i propri poteri repressivi imponendo una multa che potrebbe ammontare al 4% del suo fatturato, cioè 20 milioni di euro.
E in generale, se volete proteggere il vostro smartphone e altri dispositivi, è sempre una buona idea dotarsi di una VPN, non vi proteggerà da virus o malware, tuttavia il vostro anonimato e i vostri dati saranno ben protetti.
