美國史丹佛大學網路觀測計畫(Stanford Internet Observatory,SIO)的研究人員證實,語音社群平台 Clubhouse 的基礎架構因涉及 Agora 技術恐有安全疑慮。為此 Clubhouse 的開發商回應,計劃更新 App 增添額外的加密機制,以防止將 ping 傳輸到位於中國的伺服器。
SIO 發表的最新報告證實,總部位於上海的聲網(Agora Inc.)為 Clubhouse 提供系統後端的基礎架構。進一步發現到,每位用戶獨有的 Clubhouse ID 以及聊天室 ID 會以純文字形式被傳輸,這有可能使 Agora 可以造訪 Clubhouse 的原始聲音訊號;如此一來,任何觀察網路流量的人能夠比對聊天室中的 ID,以查看誰在互相交談。
SIO 的研究人員更發現,來自 Clubhouse 聊天室的元數據被中繼至託管於中國的伺服器上,而且聲音訊號已被發送到由中國公司實際管理並散布於世界各地的伺服器。由於 Agora 是一家中國公司,SIO 的研究人員推測,如果中國政府認為某些消息可能構成國安威脅,根據中華人民共和國法律的要求,則需要協助中國政府查找或存下 Clubhouse 的聲音訊息。
SIO之所以選擇披露這些安全問題,是因為它們容易被發現,並且對數百萬的 Clubhouse 用戶,尤其是居住於中國的用戶,直接構成了安全風險。
然而 Agora 向 SIO 表示,除了監控網路傳輸品質或向客戶收費以外,不會儲存用戶的聲音訊息或元數據;而且只要聲音訊號儲存於美國的伺服器上,中國政府就無法取得數據。
一名 Agora 發言人拒絕對該公司與 Clubhouse 的關係發表任何評論,然而在給國外媒體 The Verge 的聲明指出,Agora 是無權造訪、共享或儲存用戶個人可識別的數據,而且包括美國用戶在內的非中國用戶,他們的影音流量永遠不會經過中國。
另一方面,Clubhouse 則透過一份聲明向 SIO 的研究人員解釋,有鑑於中國過去在隱私方面的種種紀錄,開發團隊決定不向中國用戶提供這款 App。日前少數的中國用戶找到下載 App 的方法,這也意味著這款 App 在 2 月 8 日被中國政府封殺前,用戶所參與的語音對話是透過中國伺服器進行傳輸。
Clubhouse 也向 SIO 表示,它將增添其他加密機制,以防止 Clubhouse 用戶被迫將 ping 傳輸到位於中國的伺服器,並會聘請外部資安公司進行審核與驗證。
(首圖來源:Unsplash)