据彭博社(加拿大)报道,受欢迎的音频聊天室应用Clubhouse表示,他们正在采取措施确保用户数据不能被恶意黑客或间谍窃取,一周后,有至少一名攻击者已经证明该平台的直播音频可以被窃取。
Clubhouse的发言人Reema Bahnasy表示,本周末,一名身份不明的用户能够将Clubhouse音频源从“多个房间”转移到自己的第三方网站。虽然该公司表示已经“永久禁止”该特定用户,并安装了新的“保障措施”以防止重蹈覆辙,但研究人员认为该平台可能无法做到这样的承诺。
2月13日率先公开提出安全问题的斯坦福互联网观察站(Stanford Internet Observatory,简称SIO)周日(2月21日)晚些时候表示,使用这款只有受邀才能使用的iOS应用程序的用户应假定所有对话都被录音。该机构主任、Facebook公司前安全主管亚历克斯·斯塔莫斯(Alex Stamos)说:“Clubhouse不能为全球任何地方举行的对话提供任何隐私承诺。”
斯塔莫斯和他的团队还能够确认,Clubhouse依靠一家总部位于上海的创业公司上海兆言网络科技有限公司来处理其大部分后端业务。他说,虽然Clubhouse负责其用户体验,比如添加新朋友和寻找房间,但该平台依靠这家中国公司来处理其数据流量和音频制作。
斯塔莫斯说,Clubhouse对上海兆言网络科技有限公司的依赖引发了广泛的隐私担忧,特别是对中国公民和持不同政见者而言,他们的对话超出了国家监控的范围。
上海兆言网络科技有限公司表示,它无法评论Clubhouse的安全或隐私协议,并坚称它不会为任何客户“存储或分享个人身份信息”,Clubhouse只是其中之一。该公司说:“我们致力于使我们的产品尽可能地安全。”
周末,网络安全专家注意到,音频和元数据被从Clubhouse拉到另一个网站。总部位于澳大利亚堪培拉的Internet 2.0首席执行官罗伯特·波特(Robert Potter)说:“一个用户设置了一种方式,与世界其他地方远程分享他的登录信息。真正的问题是,人们认为这些对话是私密的。”
周末窃取音频的幕后黑手围绕用于编译Clubhouse应用程序的JavaScript工具包建立了他们自己的系统。斯塔莫斯认为,他们有效地操纵了这个平台。SIO表示,它没有确定攻击者的来源或身份。
SIO的研究员Jack Cable表示,虽然Clubhouse拒绝解释它采取了哪些措施来防止类似的违规行为,但解决方案可能包括防止使用第三方应用程序来访问聊天室的音频而不实际进入房间,或者简单地限制用户可以同时进入的房间数量。
一周前,SIO发布报告称,它观察到一个Clubhouse聊天室的元数据“被转发到我们认为是托管在中国的服务器上”。上海兆言网络科技对中国网络安全法的义务意味着,如果政府认为这些音讯危害国家安全,它将被依法要求协助定位。
Clubhouse最近以10亿美元(约合人民币64.6亿元)的估值筹集了1亿美元(约合人民币6.5亿元)。自1月中旬以来,上海兆言网络科技的公司价值已经飙升了150%以上。现在它的价值接近100亿美元(约合人民币646.6亿元)。
2月初,Clubhouse的中国用户表示,由于大陆用户对从台湾到新疆等禁忌话题的讨论激增,他们无法访问这款应用。目前,用户似乎仍然可以通过虚拟专用网访问这款应用。