fbpx

專家發現 Clubhouse 用戶 ID 傳輸未加密,據悉平台已修復漏洞

專家發現 Clubhouse 用戶 ID 傳輸未加密,據悉平台已修復漏洞
高伯任

聽後即焚的 Cloubhouse 是否存在遭竊聽風險?Stanford Internet Obsercatory(以下稱 SIO)發現平台用戶 ID、房間 ID 未經加密,資安存在嚴重漏洞。 據悉,Cloubhouse 官方獲報後已採取了對應措施。

 

今年 2 月,Clubhouse 熱潮從矽谷蔓延至華人圈,不少中國網友在平台上大聊中共敏感議題。果不其然,平台在 2 月 8 日星期一遭到中國政府全面封鎖。與臉書、YouTube 一樣,中國用戶現在必須透過 VPN 才能正常使用 Clubhouse 。

由於這陣子 Clubhouse  不乏六四、新疆教育營等敏感議題的房間主題,加上底層技術被指是由中資背景的 Agora 聲網提供,因此有人擔憂用戶是否存在被中共竊聽的風險。

事實上無論是 Clubhouse 還是聲網,雙方並未公開承認彼此的合作關係。

而經 SIO 調查,證實 Clubhouse 流量會轉向聲網的伺服器,確認 Clubhouse 底層技術確實是由聲網提供。

不過讓 SIO 認定 Clubhouse 存在竊聽風險的是,他們發現平台的用戶 ID、房間 ID 會以純文字格式傳輸,過程未經加密,且至少發現一起案例是傳送至位於中國的伺服器,接著再分發給世界各地的伺服器。

「SIO 之所以決定披露這些安全問題,是因為它們相對容易發現,而且會多上百萬 Cloubhouse 用戶(特別是中國用戶)構成直接的安全風險。」SIO 表示。

談到中國政府是否能獲取音訊資料,SIO 認為可能不會,但前提是音訊必須儲存於美國。

聲網專門向客戶提供實時通話(Real-Time -Communications)技術,其技術能夠彌平用戶硬體、網路環境間的差異,提供良好的通話品質,幫助 Clubhouse 這類平台只需專注介面設計、提升用戶體驗。

聲網聲稱除了監控流量並向客戶收費外,不會儲存用戶音訊。但根據 Clubhouse 隱私政策,平台為了避免仇恨言論發生,會「短暫」錄下用戶聲音。

由於政策並未提及錄製的時間長短,也未表明數據是否會經過聲網或者其他未在中國的伺服器。SIO 擔憂中國政府可能會直接從聲網的管道獲取用戶個資、音訊,特別是某些用戶會在個人資料留下微博、個人背景或者個人照,這些資料都有助於中國監控人員了解用戶的身份背景。

值得一提的是,SIO 認為中國政府沒有在第一時間封鎖 Clubhouse,原因可能有三點。

一是平台開放時是周末,負責監控的官員人不在辦公室;其次是中國政府刻意留給少數菁英一個不受拘束的政治言論窗口;最後一個可能,是中國政府官僚體系龐大,封鎖應用程式需要通過層層關卡才能實現。

消息來源:SIO

iOS 軟體
高伯任

叫我小高就好了。聯絡方式:8bitgaoooo@gmail.com

More in iOS 軟體

讓精明小松鼠《Bobby》 來管理自己的線上訂閱服務吧!

Candice2021-02-26

Spotify 推出 Podcast 訂閱服務,美國今春開放測試

高伯任2021-02-23

LINE 元宵動畫特效登場 願大家 “元宵” “天燈” “平安”!

Candice2021-02-23

Clubhouse 隱私爭議又一起,房間內容可透過第三方軟體播放

高伯任2021-02-22

LINE FRIENDS app 替手機換上超可愛桌布!

Candice2021-02-22

iOS 14.5 小改變: 遠離「免費下載」訂閱陷阱

Candice2021-02-22
-->