聽後即焚的 Cloubhouse 是否存在遭竊聽風險?Stanford Internet Obsercatory(以下稱 SIO)發現平台用戶 ID、房間 ID 未經加密,資安存在嚴重漏洞。 據悉,Cloubhouse 官方獲報後已採取了對應措施。
今年 2 月,Clubhouse 熱潮從矽谷蔓延至華人圈,不少中國網友在平台上大聊中共敏感議題。果不其然,平台在 2 月 8 日星期一遭到中國政府全面封鎖。與臉書、YouTube 一樣,中國用戶現在必須透過 VPN 才能正常使用 Clubhouse 。
由於這陣子 Clubhouse 不乏六四、新疆教育營等敏感議題的房間主題,加上底層技術被指是由中資背景的 Agora 聲網提供,因此有人擔憂用戶是否存在被中共竊聽的風險。
事實上無論是 Clubhouse 還是聲網,雙方並未公開承認彼此的合作關係。
而經 SIO 調查,證實 Clubhouse 流量會轉向聲網的伺服器,確認 Clubhouse 底層技術確實是由聲網提供。
不過讓 SIO 認定 Clubhouse 存在竊聽風險的是,他們發現平台的用戶 ID、房間 ID 會以純文字格式傳輸,過程未經加密,且至少發現一起案例是傳送至位於中國的伺服器,接著再分發給世界各地的伺服器。
「SIO 之所以決定披露這些安全問題,是因為它們相對容易發現,而且會多上百萬 Cloubhouse 用戶(特別是中國用戶)構成直接的安全風險。」SIO 表示。
談到中國政府是否能獲取音訊資料,SIO 認為可能不會,但前提是音訊必須儲存於美國。
聲網專門向客戶提供實時通話(Real-Time -Communications)技術,其技術能夠彌平用戶硬體、網路環境間的差異,提供良好的通話品質,幫助 Clubhouse 這類平台只需專注介面設計、提升用戶體驗。
聲網聲稱除了監控流量並向客戶收費外,不會儲存用戶音訊。但根據 Clubhouse 隱私政策,平台為了避免仇恨言論發生,會「短暫」錄下用戶聲音。
由於政策並未提及錄製的時間長短,也未表明數據是否會經過聲網或者其他未在中國的伺服器。SIO 擔憂中國政府可能會直接從聲網的管道獲取用戶個資、音訊,特別是某些用戶會在個人資料留下微博、個人背景或者個人照,這些資料都有助於中國監控人員了解用戶的身份背景。
值得一提的是,SIO 認為中國政府沒有在第一時間封鎖 Clubhouse,原因可能有三點。
一是平台開放時是周末,負責監控的官員人不在辦公室;其次是中國政府刻意留給少數菁英一個不受拘束的政治言論窗口;最後一個可能,是中國政府官僚體系龐大,封鎖應用程式需要通過層層關卡才能實現。
消息來源:SIO
