文章提供:图文资通组
文章来源:https://www.bnext.com.tw/article/61445/china-clubhouse
发佈日期:2021.02.22 消息来源:数位时代 #资讯安全#隐私与资安
语音社群软体Clubhouse虽遭中国封锁,仍有不少中国网友翻墙发表意见。但美国专家警告,Clubhouse使用的是中国制伺服器,传输内容有被截取之虞,因此不建议在这款软体上发表敏感对话。
根据美国之音中文网报导,史丹佛大学网路观测平台主任、Facebook资安长史塔莫斯(Alex Stamos)透过推特表示,研究人员发现,由中国科技业者生产的伺服器,被用来处理Clubhouse的用户语音交谈数据。
史丹佛大学网路观测平台曾发布调查报告,指总部位在上海的中国业者声网(Agora),是为Clubhouse提供技术支持的厂商;而Clubhouse用户及聊天室的ID,都是採用未加密的方式明文传输,很容易被拦截,监听者可以轻松查到谁和谁在聊天,这对中国用户来说是「令人不安的」。
此外,声网很有可能有登入Clubhouse用户语音原始数据的权限,并有可能把这些权限转让给政府机构。而聊天室的诠释资料(Metadata)还曾被传送到位在中国的声网后台伺服器中。
专家:不要在Clubhouse上谈论敏感议题
除了声网之外,史塔莫斯表示,Clubhouse还使用了由「广州朗桥维视通信技术有限公司」生产的伺服器。
史塔莫斯指出,声网的技术是Clubhouse功能「运行的根本」。这不只限于中国用户,也涉及美国用户。因此,对于那些可能因中国的网路安全作业陷入不利处境的个人,不建议他们用Clubhouse进行敏感对话。
网路安全专家、资讯防护业者Avast美国分部全球威胁通讯部门高级总监Christopher Budd指出,Clubhouse的功能设计本身,并没有强调语音数据的全程保密,这首先就意味着数据可能会在传输过程中被截获。即使公司声称不记录也不保存讯息,但在点对点加密前,讯息被截获「始终是一个风险」。
Budd强调,这不代表Clubhouse的安全性存在缺陷,但它只是个社交媒体工具。如果使用者是一名政治异议者,或对国家活动有合理担忧者,Clubhouse的设计不是为了抵挡住这种「潜在的敌对意图」。所以,不要用Cluehouse这类的平台进行非常敏感的对话。