Archivi tag: clubhouse

Servizio TV con Le Iene su ClubHouse

È andato in onda il servizio de Le Iene dove ho dato un piccolo contributo nel descrivere le caratteristiche tecniche dell’App Clubhouse dal punto di vista della privacy e della sicurezza, in particolare concentrando l’attenzione sulle tecniche di Open Source Intelligence applicabili per ricavare informazioni dai dati forniti dagli utenti durante la registrazione e l’utilizzo della piattaforma e resi pubblici dall’App stessa.

Con Matteo Viviani abbiamo fatto diverse prove, durante la sua registrazione al servizio Clubhouse, per verificare quali dati fossero richiesti e quali mostrati dall’App, analizzando anche il meccanismo degli inviti che è emerso non essere in realtà così vincolante come viene presentato. È possibile – lo si scopre al termine del servizio – registrarsi a Clubhouse anche prima di aver ricevuto inviti e ottenere un “pass” per l’ingresso senza consumare inviti di nessuno, quindi in modo facile, veloce e “gratuito”, considerato che c’è un mercato degli inviti Clubhouse in vendita a prezzi anche piuttosto rilevanti.

Paolo Dal Checco con Le Iene e Matteo Viviani su Clubhouse

Dalla breve analisi che ho potuto svolgere e della quale ho parlato nel servizio, sono emersi diversi aspetti d’interesse investigativo che possono integrare le informazioni che si ottengono durante le normali attività legate alla digital forensics e perizia informatica.

Durante il servizio sono state presentate alcune informazioni ricavabili tramite semplici analisi e ricerche OSINT su Clubhouse come i collegamenti tra invitato e soggetto che ha fornito l’invito o il numero di utenti clubhouse che hanno in rubrica un certo contatto.

OSINT su ClubHouse con Le Iene

Le tecniche OSINT applicabili su Clubhouse sono diverse e molte ancora in fase di definizione, certamente con alcune verifiche sui dati che transitano sulla rete – ad es. con applicativi come Fiddler, Burp, MITMProxy – è possibile verificare con quali protocolli e API l’App comunica con il server Clubhouse e quindi utilizzarli per raccogliere dati a fini investigativi più facilmente che tramite interfaccia grafica.

OSINT sul social network ClubHouse per OsintOps

È uscito ieri un mio pezzo, pubblicato sul blog del team OsintOps, che tratta delle attività di OSINT su ClubHouse e di come sia possibile ricavare informazioni interessanti a partire dai dati divulgati in modo più o meno trasparente dal social network ClubHouse, che sta raggiungendo proprio in questi giorni un picco di utilizzatori in Italia, dopo aver spopolato all’estero già da aprile 2020. Poiché le attività di ricerca online tramite OSINT sono spesso legate alla digital forensics e investigazioni digitali, ho fatto alcuni esperimenti con un’utenza Club House per verificare quali informazioni fosse possibile ricavare tramite tecniche e metodologie di OSINT sulle fonti aperte.

OSINT su ClubHouse App e Social Network

Tramite semplici ricerche online è possibile eseguire attività di OSINT su App e Social Network ClubHouse, a partire dall’interessante proprietà degli inviti, che su ClubHouse non possono essere nascosti e che quindi mostrano in modo perenne i collegamenti tra soggetti basati proprio sulla catena d’inviti. Chi si occupa di ricerche online, informatica forense e giornalismo investigativo può beneficiare di questa rete di contatti che gli utenti disegnano inconsapevolmente nel momento in cui invitano qualcuno su ClubHouse o accettano un invito.

Altra proprietà particolarmente rilevante del social network ClubHouse, che ne permette un’analisi OSINT di buon livello, è il fatto che di ogni utenza telefonica è possibile visionare (fino a quando non si registra sulla piattaforma) il numero di utenti di ClubHouse che la possiedono in rubrica fra i propri contatti.

Nell’articolo pubblicato su OsintOps ho riportato alcune perplessità sull’impossibilità di cancellare manualmente il proprio account e sulla necessità, invece, di dover contattare l’assistenza Clubhouse per la rimozione. Allo stesso modo, alcune questioni sulle modalità con le quali ClubHouse gestisce la rubrica telefonica e i contatti dello smartphone hanno sollevato alcune questioni sulla sua conformità o meno al GDPR, data protection e privacy.