Clubhouse 這個語音社交平台在這一個月迅速爆紅,國內外許多名人都紛紛透過管道取得邀請碼加入,也因為這些名人的加入,讓本來很普通的社交平台頓時含金量大增,大家紛紛爭相利用各種方式尋求可以得到的邀請碼,希望加入後能夠更貼近這些名人,也在這個即時的社交平台上與志同道合的人交流。
伺服器位於中國,保障受到質疑
但日前 Clubhouse 才爆發中資的爭議,雖然不久後也得到澄清 Clubhouse 並非由中資設立,只是使用中國聲網公司 Agora 提供的語音技術,才讓紛爭暫時平息,不過近日「丹佛大學網路觀測計畫(SIO)」所發表的研究報告指出,Clubhouse 的安全漏洞讓中國政府可以有機會取得用戶的資料,即便不是文字,聲音的形式也可能造成用戶隱私將被中國政府監控的風險。
SIO 的報告中表示他們觀察了平台與伺服器之間的 metadata 傳輸資料,認為中國聲網公司 Agora 為 Clubhouse 提供後台的語音技術支援,因此他們可以合理的取得使用者在 Clubhouse 平台上的所有資料與紀錄,且中國使用者的資料以及活動紀錄會由中國的伺服器處理,根據中國的「國家情報法」相關規定,政府將若表示有所需要,任何組織或是公民皆須配合提供所需資訊與情報,這也就表示中國政府有權要求聲網公司 Agora 提供用戶所有的資訊,包含在註冊時請求用戶開放的聯絡人資料。
用戶 ID 可輕鬆被攔截
更重要的是,他們觀察到 Clubhouse 的用戶 ID 是以純文字的方式在每一個指令之間進行重送,因此相當容易被攔截,雖然這樣的作法無法知道對話的內容,但還是能夠了解該用戶和誰對話、加入了哪些房間….等。
這樣的狀況,造成即便 Clubhouse 表示合作的聲網公司並非中資,但還是讓人不免擔心。
報導認為 Clubhouse 還要再更加強化用戶隱私保障
這項資安消息被爆出後, Clubhouse 也出面表示了解到此問題的存在,會在 3 天內利用軟體更新的方式修補 ID 傳輸方式等多放面的漏洞,強化資安以及用戶的隱私安全。但 Clubhouse 還沒有辦法針對大家比較有疑慮的 Agora 聲音資料存取問題以及如何使用這部分提出說明,相關的資料顯示,除非 Clubhouse 使用了 E2EE 點到點的加密方式,也就是只有聊天的用戶兩端可以存取內容,中途資料在傳輸時,任何參與處理過程的環節皆是以加密的方式進行,否則很難防止 Agora 或是中國政府取得用戶隱私資料的疑慮產生。
延伸閱讀》
Clubhouse 如何發言?如何關麥?告訴你進入房間之後要知道的事情
Clubhouse 是什麼?拿到邀請並註冊完後怎麼用?如何創立房間?
Clubhouse 如何註冊?如何取得邀請碼?要怎麼邀請別人?