2021年2月20日
Clubhouse在中國被禁,但仍有不少海外中國用戶和國內線民通過VPN在聊天室裡暢所欲言。有專家警告中國線民,Clubhouse的加密方式仍可能導致資料傳輸被協力廠商截取,如果擔心“因言獲罪”,在聊天室暢談敏感話題需謹慎。
Clubhouse被爆曾使用中國伺服器、資料不加密
和世界各地的網路使用者就特定主題進行語音即時聊天、音訊資料不會被長期存檔,這讓Clubhouse在那希望希望自由發表言論的中國線民中大受歡迎。不過,有研究發現,這款應用程式1月8日在中國被封前後,有關聊天室的資料曾經被傳送到了中國公司管理的網路服務器。網路安全專家說,如果用戶擔心中國當局監聽,Clubhouse不是發表敏感言論的合適場所。
斯坦福大學網路觀測平臺(Stanford Internet Observatory)主任、臉書公司前首席安全官亞曆克斯·斯塔莫斯(Alex Stamos)星期二(2月16日)在推特上說,研究人員發現中國科技公司的伺服器被用於處理Clubhouse的使用者語音交談資料,這不只限於中國用戶,也涉及美國用戶。
他說:“目前,對於那些可能因為中華人民共和國的安全服務陷入不利處境的個人,我不建議他們用Clubhouse進行敏感的對話。”
斯坦福大學網路觀測平臺此前發佈調查報告說,位於上海的即時音視頻互動技術公司聲網(Agora)為Clubhouse提供技術支援。斯塔莫斯說,聲網的服務是Clubhouse功能運行的根本。
他說,在美國和中國基礎設施之間“建立邏輯上和技術上的控制”十分困難。
斯坦福網路觀測平臺認定,Clubhouse的用戶以及聊天室的ID都是用未加密的手段明文傳輸,同時聲網公司很有可能有訪問使用者語音原始資料的許可權,並且有可能把這些許可權轉讓給政府機構。
網路安全與隱私專家、電腦安全技術公司Avast美國分部全球威脅通訊部門高級總監、克裡斯多夫·巴德(Christopher Budd)指出,Clubhouse的功能設計本身並沒有強調語音資料的全程保密。
巴德對美國之音說:“Clubhouse沒有對外宣稱提供端到端加密(end-to-end encryption),因此,這首先就意味著資料可能會在傳輸過程中被截獲,即使他們說他們不記錄也不保存資訊,但在他們實施端到端加密之前,資訊截獲始終是一個風險。”
巴德說,這不代表Clubhouse的安全性存在缺陷。他強調,在通訊交流中,“做什麼事都要用對合適的工具”。他說:“Clubhouse是一個社交媒體工具。他們在安全、隱私和安全設施方面做得很好。但它仍然只是一個社交媒體工具。所以如果你是一個持不同政見者,或者你是一個國家政府的活動有合理擔憂的人,它的設計不是為了讓你能抵禦住這種潛在的敵對意圖。”
巴德建議:“不要用Cluehouse這類的工具來進行非常敏感的對話。如果要進行那樣的對話,你需要的是端到端加密的工具,例如Signal。”
中國聲網公司角色受關注
但斯坦福大學的調查發現,Clubhouse聊天室的中繼資料(Metadata)曾經被傳送到位於中國大陸的聲網的後臺伺服器中;同時,語音檔也被傳輸到由中國公司管理的伺服器,而後通過“任播”(Anycast)的資料傳輸方式發佈到全世界。
斯坦福大學網路觀測平臺說,Clubhouse聊天室中的用戶ID、聊天室ID可能以純文字的格式傳輸,很容易被攔截,監聽者可以輕鬆地查看到誰與誰在聊天,這對於中國大陸的用戶來說是“令人不安”的。
香港《南華早報》此前報導說,聲網聯合創建人、亞太和新興市場負責人王驊(Tony Wang)表示,聲網只是Clubhouse資料傳輸過程中的一個中轉。他說:“我們不儲存終端使用者的資料,我們的客戶一般會給他們的用戶資料加密。”
他說,聲網只儲存有關網路品質、用來改善演算法的資料,以及與客戶結算相關的資料。
不過,根據聲網2020年6月提供給美國證券交易委員會的檔,聲網公司承認,他們必須遵守中國法律,為涉及國家安全和犯罪調查提供協助和支援。
Clubhouse承諾停止向中國伺服器傳輸資料
網路安全與隱私問題專家巴德說,基於Clubhouse提供的公開資訊,可以相信他們把語音資料存儲在美國。斯坦福大學的研究說,Clubhouse的使用者隱私權協議中指出,使用者的音訊會被“短暫地”儲存下來用於可能的信任和安全調查(例如恐怖主義威脅,仇恨言論,出售未成年人個人資訊等)。如果沒有收到信任和安全調查報告,Clubhouse聲稱這些音訊資料將被刪除,但未指定“臨時”存儲的持續時間到底幾分鐘還是幾年。
Clubhouse應用程式的開發者Alpha Exploration在收到斯坦福大學的研究結論後,承認該程式的“一小部分流量”可能發送到了中國的伺服器,其中包括有關用戶ID的“ping”(用於網路測試的資料包)。
Clubhouse說,雖然開發者一開始就決定不向中國地區的蘋果應用程式商店開放服務,但仍有中國大陸的用戶繞過這層限制,找到了下載和使用Clubhouse的辦法,這意味著Clubhouse正式被當局封鎖以前,中國使用者參與的對話可以通過中國的伺服器傳輸。
Clubhouse承諾在72小時內進行更多加密和阻攔方式,以防止Clubhouse用戶端將ping傳輸到中國伺服器。
網路安全公司趨勢科技(Trend Micro)對彭博社表示,他們注意到Clubhouse使用一個過時的聲網軟體庫版本,該版本使用的是一種不夠理想的加密功能。
蘋果應用程式商店的資訊顯示,Clubhouse最近的升級日期是2月16日。有關Clubhouse資料加密的改進問題,該程式開發者的安全部門沒有回復美國之音的詢問。
背後中資公司不僅一家
除聲網之外,斯坦福大學網路觀測平臺主任斯塔莫斯在推特上發文透露,他的研究還發現了Clubhouse可能還使用了一個名為“GUANGZHOU ENJOY_VC COMMUNICATION TECHNOLOGY CO., LTD.”的伺服器,這指向了廣州朗橋維視通信技術有限公司。
朗橋維視的官方網站說,該公司創始於2013年,以基於Web RTC通信技術為核心,提供全平臺互通的即時音視頻互動服務。公司香港官網還說,向全球提供分散式互聯網資料中心(IDC)服務,以廣州為中國境內核心節點、以香港為境外核心節點,在韓國、東南亞、歐洲和美洲多個國家有IDC和互聯專線。
朗橋維視廣州總部在回復給美國的電子郵件中沒有證實或否認該公司與Clubhouse的合作關係,稱其對客戶相關資訊嚴格保密,因此無法置評。
另外,《華盛頓郵報》此前報導,Clubhouse還使用了中國層峰網路(Zenlayer)公司的技術服務。報導說,層峰網路和聲網一樣,都可能被迫向中國政府提供資料。
層峰網路美國公司沒有回復美國之音通過電子郵件發出的詢問。
中國審查員可能已經加入Clubhouse聊天室
斯坦福大學的研究人員說,如果中國政府通過聲網獲取使用者資料,中國大陸的Clubhouse用戶可能會面臨麻煩。但他們也指出,中國政府很可能無需借助Clubhouse或聲網即可訪問大陸使用者的資料或中繼資料,擁有潛在獲取資料的途徑也不等於中國政府實際獲取了資料。
在Clubhouse的中文聊天室的談話中,審查是許多人擔心的問題。《紐約時報》報導說,1月8日下午在一個Clubhouse聊天室中,一個自稱在中國某大型社交媒體平臺負責審查工作員工告訴聊天室裡的參與者,任何人都不要認為自己可以逃避政府的監聽監視。
在推特上,一位名叫“pandakiller”的網友說,他目睹了Clubhouse聊天室中已經有中國公安人員正在進行如何使用Clubhouse的演練。
美國前高級情報官員、中國情報事務專家尼古拉斯·埃菲迪米亞德斯(Nicholas Eftimiades)告訴美國之音,雖然有時難以判定中國科技公司與中國政府的實際聯繫,但真正的問題在於,如果有中國政府想要的、有價值的資料,沒有中國公司可以拒絕交出這些資料,這在2017年開始實施的《網路安全法》就有了明文規定。
“特別是如果他們在中國經營,他們別無選擇。因此,這裡的實際相互關係在於,這些公司收集什麼資料以及這些資料是否對中共有用。” 埃菲迪米亞德斯說:“我們已經看到這擴展涉及到許多不同類型的資料,從醫療資料,人事資訊,財務資訊,到人際網路聯繫和個人聯繫等等,這是中國政府希望收集的一批相當廣泛的資料。”