语音聊天应用 “Clubhouse “在中文受众中走红。斯坦福互联网观察站研究了用户数据是否受到保护,以及为什么这很重要。
埃琳娜·克里斯斯特(Elena Cryst)
上周,插入式音频聊天应用程序“ Clubhouse”为中国大陆iPhone用户带来了罕见的 不受限制的普通话辩论,然后于2021年2月8日星期一被中国的在线审查员突然封锁。
除了关于旅行和健康的闲聊外,用户还坦率地讨论了新疆维吾尔族集中营,1989年天安门广场的抗议活动以及被警察讯问的个人经历。中国政府限制对这些主题的公开讨论,维护“防火墙”以阻止国内受众访问许多外国应用程序和网站。尽管上周俱乐部会所尚未受到防火墙的阻止,但一些内地用户担心政府可能窃听对话内容,导致报复。
近年来,习近平主席领导下的中国政府显示出越来越高的意愿起诉其公民,以发表批评该政权的言论,即使该言论在中国遭到封锁。与Twitter帖子不同,Clubhouse应用程序的音频消息在语音发生后不会留下任何公共记录,这可能会使中国政府的监督工作复杂化。
斯坦福大学互联网天文台证实,总部位于上海的实时互动软件提供商Agora向Clubhouse App提供了后端基础架构(请参阅附录)。以前曾广泛 怀疑这种关系,但尚未公开证实。此外,SIO已确定用户的唯一会所ID号和聊天室ID以纯文本格式传输,Agora可能会访问用户的原始音频,有可能提供与中国政府的联系。在至少一个实例中,SIO观察到会议室元数据被中继到我们认为将托管在中国的服务器,音频被中继至由中国实体管理并通过Anycast分发到世界各地的服务器。也有可能将Clubhouse ID与用户个人资料相关联。
SIO之所以选择披露这些安全问题,是因为它们相对容易发现,并且对Clubhouse的数百万用户(尤其是在中国的用户)构成了直接的安全风险。SIO发现了我们已秘密向Clubhouse披露的其他安全漏洞,并将在修复这些漏洞或在规定的期限后公开披露这些漏洞。
在此博客文章中,我们调查了中国政府通过Agora和Clubhouse应用本身访问Clubhouse音频的可能性。我们还将探讨为什么这可能很重要。我们将解决以下关键问题:
- 什么是Agora,我们怎么知道它为Clubhouse提供后端支持,为什么这很重要?
- 中国政府可以访问Clubhouse存储的音频吗?
- 中国大陆用户可能会因在该应用上发表演讲而遭到报复吗?
- 为什么中国政府禁止该应用程序?
什么是Agora,我们怎么知道它为Clubhouse提供后端支持,为什么这很重要?
什么是Agora?
Agora是一家总部位于上海的初创企业,其美国总部位于硅谷,为其他软件公司销售“实时语音和视频互动”平台。换句话说,它提供了详细的基础结构,因此其他应用程序(例如Clubhouse)可以专注于界面设计,特定功能和整体用户体验。如果某个应用程序在Agora的基础架构上运行,则最终用户可能一无所知。
我们怎么知道它为Clubhouse提供后端支持?
SIO分析师使用Wireshark等公开可用的网络分析工具观察了Clubhouse的网络流量。我们的分析表明,传出的网络流量定向到由Agora运营的服务器,包括“ qos-america.agoralab.co”。例如,加入一个通道会生成一个指向Agora后端基础架构的数据包。该数据包包含有关每个用户的元数据,包括其唯一的会所ID号和他们要加入的房间ID。元数据以纯文本格式(未加密)通过Internet发送,这意味着任何有权访问用户网络流量的第三方都可以访问它。以这种方式,窃听者可以例如通过检测两个用户是否正在加入同一频道来获知两个用户是否正在彼此交谈。
对Agora平台文档的SIO分析还显示,Agora可能会访问Clubhouse的原始音频流量。除非进行端到端加密(E2EE),否则该音频可以被Agora拦截,转录和存储。Clubhouse不太可能实施E2EE加密。
我们在这篇文章结尾的技术分析附录中扩展了这些发现的技术细节。
Agora托管Clubhouse为何如此重要?
由于Agora共同位于美国和中国,因此它受中华人民共和国(PRC)网络安全法的约束。在提交给美国证券交易委员会的文件中,该公司承认将需要“根据[中华人民共和国]法律提供协助和支持”,包括保护国家安全和刑事调查。如果中国政府确定音频消息危害国家安全,则法律上将要求Agora协助政府查找和存储该音频。
有关天安门抗议活动,新疆难民营或香港抗议活动的谈话可能属于犯罪活动。他们已经合格 之前。
Agora声称除了监视网络质量并为其客户收费之外,不存储用户音频或元数据。如果真是这样,那么中国政府将无法从Agora合法地请求用户数据-Agora将没有任何用户数据记录。但是,从理论上讲,中国政府仍然可以利用Agora的网络进行记录。否则Agora可能会歪曲其数据存储做法。(华为是一家与中国军队有着密切联系的大型中国软件公司,也声称不将数据交给政府。许多专家对此表示怀疑。)
此外,中国政府可能会访问通过中国服务器传输的任何未加密数据。鉴于SIO观察到房间元数据正在传输到我们认为将托管在中国的服务器,中国政府可能甚至无需访问Agora的网络即可收集元数据。
总之,如果中国政府可以通过Agora访问用户数据,则Clubhouse的中国大陆用户可能会面临风险。但是,请务必记住,具有访问用户数据的潜力与实际访问它并不相同。就像美国政府一样,中国政府是一个庞大且有时笨拙的官僚机构。容易夸大中国政府内部的内部一致和组织的一致性。
中国政府可以访问Clubhouse存储的音频吗?
简短的答案是:可能不会,只要音频存储在美国即可。
Clubhouse的《隐私政策》指出,将出于信任和安全调查的目的(例如恐怖分子的威胁,仇恨言论,未成年人的个人信息收集等)而“临时”录制用户音频。如果未提交信任和安全报告,则Clubhouse声称已删除存储的音频。该策略未指定“临时”存储的持续时间。临时可能意味着几分钟或几年。俱乐部会所的隐私政策未将Agora或任何其他中国实体列为数据子处理器。
如果Clubhouse将音频存储在美国,中国政府可以要求美国政府根据《中美相互法律援助协议》(MLAA)要求会所传输数据。但是,由于MLAA的规定允许该美国拒绝侵犯用户言论自由或人权的请求,例如涉及会所政治性言论的请求(天安门,香港,新疆等),该请求可能会失败。 )。(由于美国联邦法律禁止此类披露,因此中国政府不能直接向Clubhouse索要音频剪辑。)
但是,如果应用的创建者Alpha Exploration Co.在中国拥有可以访问该数据的合作伙伴或子公司,则中国政府可以合法要求在中国存储的音频(或其他用户数据)。除Agora之外,没有已知证据表明Alpha Exploration Co.在中国有合作伙伴或在中国存储用户数据。
总之:假设应用程序制造商在中国没有合作伙伴或没有在中国存储数据,那么中国政府可能无法使用法律程序来获取Clubhouse音频数据。根据Clubhouse的“临时”存储量,Clubhouse在任何情况下都可能没有数据可以通过合法程序移交。但是,如果中国政府可以直接从Clubhouse在Agora上的后端基础设施获取音频,则它可能不求助于使用国际法律渠道来查找数据。
大陆用户是否有可能因在Clubhouse演讲而遭到报复?
为了让中国政府惩罚在敏感聊天室中访问过或讲话过的会所用户,至少需要满足两个条件。
首先,中国政府需要知道哪些用户在哪些聊天室中。如上所述,它可以通过房间中存在的其他用户的报告或通过Agora从后端的报告来手动获取此信息。
为了手动收集数据,Clubhouse会议室中的某人需要手动记录其他用户的个人资料。他们的公开个人资料有时会显示识别信息,例如照片,电话号码或微信帐户。(电话号码和微信帐户是在中国注册的真实姓名。可以通过面部识别算法来识别照片。)但是,大多数会所配置文件都不会显示识别信息。在这种情况下,政府将需要通过自己的监视机制或通过Agora访问标识信息。
中国的国内监视能力不透明,但被认为是重要的。正如爱德华·斯诺登(Edward Snowden)透露的那样,中国政府很可能无需求助于Clubhouse或Agora即可访问大陆用户的数据或元数据,这与美国政府窃听网络流量的方式类似。如上所述,中国政府可以轻松拦截从用户设备发送的纯文本元数据,例如会议室ID和用户ID。如果政府没有独立访问用户数据的权限,则需要从Agora或Clubhouse请求和接收数据。如上所述,目前尚不清楚政府能否轻易做到这一点。Agora声称不存储用户数据,而Clubhouse极不可能提供它。
其次,中国政府必须要惩罚该应用程序的用户。他们是否会不清楚。研究表明,中国政府有时可以宽容公众的批评,因为这种批评不能引起广泛的关注,也不能促进集体行动。在这些尺寸上,会所是灰色区域。由于该应用程序仅受邀请使用,并且仅在相对昂贵的iPhone上可用(不到所有中国用户的10%),因此该应用程序可能未在中国城市精英人群中广泛使用。此外,每个Clubhouse聊天室最多可容纳五千个用户-数量很大,但可能并不庞大。从政府角度来看,所有这些因素都可能减轻俱乐部会所的严重性。
另一方面,事实证明,中国政府对协调现实世界中行动的应用程序非常敏感,例如短暂的幽默应用程序Neihan Duanzi。因此,会所是一个独特的空间:它是各种“聚会”(中国政府不喜欢),但它还是半私人的,尚未广泛分布(这可能导致政府对之的容忍度更高)。最终,我们只能推测。
如果政府确实想惩罚该应用程序的国内用户,那么公众可能对此一无所知-用户本身也可能不知道。近年来,中国政府促进了针对黑名单上公民的秘密审查机制的发展,例如,在通用的国内社交媒体应用程序微信上提高用户的敏感度指数。被列入黑名单的用户可能会向他们的朋友发送消息,只是意识到该消息出现在他们的屏幕上而不是他们的朋友的屏幕上。政府还可以采取威胁性措施,而不是直接惩罚行为,例如邀请用户“喝茶”。即使发生这种情况,我们也可能永远不知道Clubhouse的活动是否触发了邀请。
为什么中国政府现在禁止该应用程序?
为什么要完全禁止该应用程序?
多年来,中国政府封锁了不完全符合其“网络主权”原则的网站或应用程序,即每个国家都应在其领土内确定网络活动的界限。中国政府通常对非法行为保持宽松的定义,从而在阻止有害内容方面拥有最大的灵活性。
政府很少解释为什么阻止单个应用程序。就俱乐部会所而言,政府很可能反对有关新疆,香港,天安门,审查制度等的政治对话。国有的民族主义报纸《环球时报》经常反映政府内部的强硬立场,发表社论时抱怨说,“关于会所的政治讨论通常是单方面的”,而“亲中国的声音很容易被压制。”
为什么现在禁止它?
Clubhouse的大多数大陆用户以及外国记者和分析师都希望该应用最终被禁止。紧迫的问题是何时。尽管可能有许多因素导致了该应用被禁的时机,但这里有三种可能性。
首先,政府检查员可能不在办公室。加利福尼亚大学圣地亚哥分校政治学教授玛格丽特·罗伯茨(Margaret Roberts)进行的研究表明,审查制度在周末和中国假期有所下降。周末,检查员不在办公室时,会所风靡一时。这也是农历新年的庆祝活动,许多员工停止工作。
其次,中国政府可能希望收集有关其公民的信息。学者们早就注意到“独裁者的困境”,即专制政府在收集准确的舆论衡量标准时面临的挑战。因为公民害怕报复,所以他们对自己的偏好撒谎。实际上,中国政府可能会珍视会所之类的空间,以便为人们(主要是精英)提供真实的政治见解的简短窗口。
第三,禁止应用程序可能需要时间。中国网络空间管理局(CAC)是一个庞大而复杂的官僚机构,它负责通过长防火墙禁止应用程序。该禁令的决定可能被繁文tape节所拖延。长防火墙本身也是一个庞大而复杂的技术设备。重定向其资源可能需要技术劳动。
答案也可以是所有这些,也可以不是全部。前面仅是初步分析。
附录:技术分析
根据Agora的文档,音频使用其实时通信(RTC)标准开发工具包(SDK)通过Agora进行中继。可以将其视为老式的网络运营商:要与其他人联系,运营商必须连接两个用户。在这种情况下,Clubhouse应用程序是每个用户的电话,而Agora是运营商。
Clubhouse应用程序的属性列表(.plist)文件与iOS应用程序捆绑在一起,包含其Agora应用程序ID
当用户加入或在Clubhouse中创建聊天室时,该用户的应用通过安全HTTP(HTTPS)向Agora的基础结构发出请求。(通过HTTP进行“请求”是访问网站的最常见方式;很可能您现在是如何阅读这些词的。)要发出请求,用户的电话请联系Clubhouse的应用程序编程接口或“ API”。手机将请求[ POST / api / create_channel ]发送到Clubhouse的API。API返回字段令牌和rtm_token,其中令牌是Agora RTC令牌,而rtm_token是RTM(实时消息)令牌。这些“令牌”然后用于建立通信路径,以确保用户之间的音频流量。
在Clubhouse的API上创建频道的请求将返回Agora令牌
然后,SIO观察到用户的电话通过UDP(一种更轻量级的传输机制)将数据包发送到名为“ qos-america.agoralab.co”的服务器。用户的数据包包含有关通道的未加密元数据,例如用户是否已请求加入聊天室,用户的Clubhouse ID号以及是否已将自己静音。
发送到Agora的数据包以明文形式包含通道的ID和用户的ID
用户从Clubhouse收到RTC令牌后,他们的电话便使用该令牌对Agora进行身份验证,以便可以通过相互认可的途径将聊天室的加密音频直接与Agora进行通信。根据Agora的文档,Agora可以访问加密密钥。尽管文档未指定使用哪种加密方式,但它很可能是基于UDP的对称加密。
Agora无法访问用户原始音频的唯一方法是,如果Clubhouse使用定制的加密方法进行端到端加密(E2EE)。尽管从理论上讲这是可行的,但这样做将需要Clubhouse向所有用户分发公钥。那还不存在。因此,极不可能有E2EE。
斯坦福大学互联网观察站从加入会所房间的设备发出的UDP流量的顺序和内容
SIO团队收到了Clubhouse的答复,并将其全部包括在内。我们尚未验证Clubhouse的任何陈述:
Clubhouse致力于数据保护和用户隐私。
我们将服务设计为一个世界各地的人们可以聚集在一起互相交谈,倾听和学习的地方。鉴于中国在数据隐私方面的往绩,我们在Appstore上推出Clubhouse使其在全球(除中国以外)的所有国家都可用时做出了艰难的决定。中国的一些人找到了下载该应用程序的解决方法,这意味着-直到该应用程序在本周早些时候被中国阻止为止,他们所参与的对话可以通过中国服务器传输。
在斯坦福大学互联网天文台的研究人员的帮助下,我们确定了一些可以进一步加强数据保护的领域。例如,对于我们流量的一小部分,包含用户ID的网络ping将被发送到全球服务器(其中可能包括中国的服务器),以确定到达客户端的最快路由。在接下来的72小时内,我们将推出更改以添加其他加密和块,以防止Clubhouse客户端将ping传输到中国服务器。我们还计划聘请外部数据安全公司来审查和验证这些更改。
随着我们不断发展,我们欢迎与安全和隐私社区的合作。我们还有一个与HackerOne合作运行的漏洞赏金计划,欢迎将任何安全性披露直接发送至[email protected]。
原文:https://cyber.fsi.stanford.edu/io/news/clubhouse-china