Clubhouse在中国被禁,但仍有不少海外中国用户和网民通过VPN在聊天室里畅所欲言。有专家警告中国网民,Clubhouse的加密方式仍可能导致数据传输被第三方截取,如果担心“因言获罪”,在聊天室畅谈敏感话题需谨慎。
据美国之音报道,斯坦福大学网络观测平台(Stanford Internet Observatory)主任、面簿公司前首席安全官斯塔莫斯(Alex Stamos)在推特上说,研究人员发现中国科技公司的服务器被用于处理Clubhouse的用户语音交谈数据,这不只限于中国用户,也涉及美国用户。
他说:“目前,对于那些可能因为中国的安全服务陷入不利处境的个人,我不建议他们用Clubhouse进行敏感的对话。”
斯坦福大学网络观测平台此前发布调查报告说,位于上海的实时音视频互动技术公司声网(Agora)为Clubhouse提供技术支持。斯塔莫斯说,声网的服务是Clubhouse功能运行的根本。
他对此指出,在美国和中国基础设施之间“建立逻辑上和技术上的控制”十分困难。
斯坦福网络观测平台认定,Clubhouse的用户以及聊天室的ID都是用未加密的手段明文传输,同时声网公司很有可能有访问用户语音原始数据的权限,并且有可能把这些权限转让给政府机构。
网络安全与隐私专家、计算机安全技术公司Avast美国分部全球威胁通讯部门高级总监巴德(Christopher Budd)指出,Clubhouse的功能设计本身并没有强调语音数据的全程保密。
巴德对美国之音说:“Clubhouse没有对外宣称提供端到端加密,因此,这首先就意味着数据可能会在传输过程中被截获,即使他们说他们不记录也不保存信息,但在他们实施端到端加密之前,信息截获始终是一个风险。”
巴德说,这不代表Clubhouse的安全性存在缺陷。他强调,在通讯交流中,“做什么事都要用对合适的工具”。他说:“Clubhouse是一个社交媒体工具。他们在安全、隐私和安全设施方面做得很好。但它仍然只是一个社交媒体工具。所以如果你是一个持不同政见者,或者你是一个国家政府的活动有合理担忧的人,它的设计不是为了让你能抵御住这种潜在的敌对意图。”
巴德建议:“不要用Cluehouse这类的工具来进行非常敏感的对话。如果要进行那样的对话,你需要的是端到端加密的工具,例如Signal。”
但斯坦福大学的调查发现,Clubhouse聊天室的元数据(Metadata)曾经被传送到位于中国的声网的后台服务器中;同时,语音文件也被传输到由中国公司管理的服务器,而后通过“任播”(Anycast)的数据传输方式发布到全世界。
斯坦福大学网络观测平台说,Clubhouse聊天室中的用户ID、聊天室ID可能以纯文本的格式传输,很容易被拦截,监听者可以轻松地查看到谁与谁在聊天,这对于中国的用户来说是“令人不安”的。
除声网之外,斯坦福大学网络观测平台主任斯塔莫斯在推特上也发文透露,他的研究还发现了Clubhouse可能还使用了一个名为“GUANGZHOU ENJOY_VC COMMUNICATION TECHNOLOGY CO., LTD.”的服务器,这指向了广州朗桥维视通信技术有限公司。
朗桥维视的官方网站说,该公司创始于2013年,以基于Web RTC通信技术为核心,提供全平台互通的实时音视频互动服务。公司香港官网还说,向全球提供分布式互联网数据中心(IDC)服务,以广州为中国境内核心节点、以香港为境外核心节点,在韩国、东南亚、欧洲和美洲多个国家有IDC和互联专线。
报道指出,斯坦福大学的研究人员说,如果中国政府通过声网获取用户数据,中国的Clubhouse用户可能会面临麻烦。但他们也指出,中国政府很可能无需借助Clubhouse或声网即可访问中国用户的数据或元数据,拥有潜在获取数据的途径也不等于中国政府实际获取了数据。
美国前高级情报官员、中国情报事务专家尼古拉斯·埃菲迪米亚德斯(Nicholas Eftimiades)告诉美国之音,虽然有时难以判定中国科技公司与中国政府的实际联系,但真正的问题在于,如果有中国政府想要的、有价值的数据,没有中国公司可以拒绝交出这些数据,这在2017年开始实施的《网络安全法》就有了明文规定。
“特别是如果他们在中国经营,他们别无选择。因此,这里的实际相互关系在于,这些公司收集什么数据以及这些数据是否对中共有用。”埃菲迪米亚德斯说:“我们已经看到这扩展涉及到许多不同类型的数据,从医疗数据,人事信息,财务信息,到人际网络联系和个人联系等等,这是中国政府希望收集的一批相当广泛的数据。”
赞
