坦福大学的研究人员发现,流行仅限邀请加入的音频应用可能具有风险
拉斐尔·亨利克(Rafael Henrique)/ SOPA Images / LightRocket通过Getty Images拍摄的照片
音频聊天室应用Clubhouse的开发者计划增加额外的加密,以防止其向中国的服务器传输ping,此前斯坦福大学的研究人员表示,他们在其基础设施中发现了漏洞。
在一份新的报告中,斯坦福互联网观察站(SIO)表示,它证实了总部位于上海的Agora公司,该公司生产实时参与软件,”为Clubhouse App提供后端基础设施”。SIO进一步发现,用户独特的Clubhouse ID号–而非用户名–和聊天室ID是以明文形式传输的,这很可能会让Agora获得Clubhouse的原始音频。因此,任何观察互联网流量的人都可以匹配共享聊天室上的ID,以查看谁在互相交谈,SIO在推特上写道:”对于中国大陆用户来说,这很麻烦。”
SIO的研究人员表示,他们发现一个Clubhouse房间的元数据 “被转发到我们认为托管在 “中华人民共和国的服务器上,并发现音频被发送到 “由中国实体管理并分布在世界各地的服务器上”。研究人员推测,由于Agora是一家中国公司,如果中国当局说这些音频信息构成了国家安全威胁,它将被依法要求协助中国政府定位和存储这些信息。
Clubhouse如何将文化战带入硅谷的创投界?
Agora告诉SIO,除了监控网络质量和向客户收费外,它不会存储用户音频或元数据,只要音频存储在美国的服务器上,中国政府就无法访问这些数据。
Agora发言人拒绝评论该公司与Clubhouse的关系,但在通过电子邮件发给The Verge的声明中表示,该公司非常清楚 “我们如何处理用户数据”。该公司 “没有访问、分享或存储个人可识别的终端用户数据,”该发言人说,”来自非中国用户–包括美国用户–的语音或视频流量从未通过中国进行路由。”
Clubhouse在一份声明中告诉SIO研究人员,当该应用推出时,开发者决定不在中国提供该应用,”考虑到中国在隐私方面的记录”。然而,该公司表示,中国的一些用户找到了下载该应用的变通方法,”这意味着–直到本周早些时候该应用被中国封锁,他们所参与的对话可以通过中国服务器进行传输。”
该公司告诉SIO,它将推出改变,”增加额外的加密和块,以防止Clubhouse客户端永远传输ping到中国服务器”,并表示将聘请一家外部安全公司来审查和验证更新。Clubhouse没有立即回复周日的置评请求。
Clubhouse是一款仅限邀请、仅限iOS系统的音频直播应用,在硅谷很多人中都很受欢迎,其中包括特斯拉CEO埃隆-马斯克(Elon Musk),他的Clubhouse本月早些时候的首次亮相吸引了数千名并发听众。据报道,该公司最近的估值为10亿美元。
