Clubhouse在中国被禁,但仍有不少海外中国用户和国内网民通过VPN在聊天室里畅所欲言。有专家警告中国网民,Clubhouse的加密方式仍可能导致数据传输被第三方截取,如果担心“因言获罪”,在聊天室畅谈敏感话题需谨慎。
Clubhouse被爆曾使用中国服务器、数据不加密
和世界各地的网络用户就特定主题进行语音实时聊天、音频资料不会被长期存档,这让Clubhouse在那希望希望自由发表言论的中国网民中大受欢迎。不过,有研究发现,这款应用程序1月8日在中国被封前后,有关聊天室的数据曾经被传送到了中国公司管理的网络服务器。网络安全专家说,如果用户担心中国当局监听,Clubhouse不是发表敏感言论的合适场所。
斯坦福大学网络观测平台(Stanford Internet Observatory)主任、脸书公司前首席安全官亚历克斯·斯塔莫斯(Alex Stamos)星期二(2月16日)在推特上说,研究人员发现中国科技公司的服务器被用于处理Clubhouse的用户语音交谈数据,这不只限于中国用户,也涉及美国用户。
他说:“目前,对于那些可能因为中华人民共和国的安全服务陷入不利处境的个人,我不建议他们用Clubhouse进行敏感的对话。”
斯坦福大学网络观测平台此前发布调查报告说,位于上海的实时音视频互动技术公司声网(Agora)为Clubhouse提供技术支持。斯塔莫斯说,声网的服务是Clubhouse功能运行的根本。
他说,在美国和中国基础设施之间“建立逻辑上和技术上的控制”十分困难。
斯坦福网络观测平台认定,Clubhouse的用户以及聊天室的ID都是用未加密的手段明文传输,同时声网公司很有可能有访问用户语音原始数据的权限,并且有可能把这些权限转让给政府机构。
网络安全与隐私专家、计算机安全技术公司Avast美国分部全球威胁通讯部门高级总监、克里斯托弗·巴德(Christopher Budd)指出,Clubhouse的功能设计本身并没有强调语音数据的全程保密。
巴德对美国之音说:“Clubhouse没有对外宣称提供端到端加密(end-to-end encryption),因此,这首先就意味着数据可能会在传输过程中被截获,即使他们说他们不记录也不保存信息,但在他们实施端到端加密之前,信息截获始终是一个风险。”
巴德说,这不代表Clubhouse的安全性存在缺陷。他强调,在通讯交流中,“做什么事都要用对合适的工具”。他说:“Clubhouse是一个社交媒体工具。他们在安全、隐私和安全设施方面做得很好。但它仍然只是一个社交媒体工具。所以如果你是一个持不同政见者,或者你是一个国家政府的活动有合理担忧的人,它的设计不是为了让你能抵御住这种潜在的敌对意图。”
巴德建议:“不要用Cluehouse这类的工具来进行非常敏感的对话。如果要进行那样的对话,你需要的是端到端加密的工具,例如Signal。”
中国声网公司角色受关注
但斯坦福大学的调查发现,Clubhouse聊天室的元数据(Metadata)曾经被传送到位于中国大陆的声网的后台服务器中;同时,语音文件也被传输到由中国公司管理的服务器,而后通过“任播”(Anycast)的数据传输方式发布到全世界。
斯坦福大学网络观测平台说,Clubhouse聊天室中的用户ID、聊天室ID可能以纯文本的格式传输,很容易被拦截,监听者可以轻松地查看到谁与谁在聊天,这对于中国大陆的用户来说是“令人不安”的。
香港《南华早报》此前报道说,声网联合创建人、亚太和新兴市场负责人王骅(Tony Wang)表示,声网只是Clubhouse数据传输过程中的一个中转。他说:“我们不储存终端用户的数据,我们的客户一般会给他们的用户数据加密。”
他说,声网只储存有关网络质量、用来改善算法的数据,以及与客户结算相关的数据。
不过,根据声网2020年6月提供给美国证券交易委员会的文件,声网公司承认,他们必须遵守中国法律,为涉及国家安全和犯罪调查提供协助和支持。
Clubhouse承诺停止向中国服务器传输数据
网络安全与隐私问题专家巴德说,基于Clubhouse提供的公开信息,可以相信他们把语音数据存储在美国。斯坦福大学的研究说,Clubhouse的用户隐私权协议中指出,用户的音频会被“短暂地”储存下来用于可能的信任和安全调查(例如恐怖主义威胁,仇恨言论,出售未成年人个人信息等)。如果没有收到信任和安全调查报告,Clubhouse声称这些音频数据将被删除,但未指定“临时”存储的持续时间到底几分钟还是几年。
Clubhouse应用程序的开发者Alpha Exploration在收到斯坦福大学的研究结论后,承认该程序的“一小部分流量”可能发送到了中国的服务器,其中包括有关用户ID的“ping”(用于网络测试的数据包)。
Clubhouse说,虽然开发者一开始就决定不向中国地区的苹果应用程序商店开放服务,但仍有中国大陆的用户绕过这层限制,找到了下载和使用Clubhouse的办法,这意味着Clubhouse正式被当局封锁以前,中国用户参与的对话可以通过中国的服务器传输。
Clubhouse承诺在72小时内进行更多加密和阻拦方式,以防止Clubhouse客户端将ping传输到中国服务器。
网络安全公司趋势科技(Trend Micro)对彭博社表示,他们注意到Clubhouse使用一个过时的声网软件库版本,该版本使用的是一种不够理想的加密功能。
苹果应用程序商店的信息显示,Clubhouse最近的升级日期是2月16日。有关Clubhouse数据加密的改进问题,该程序开发者的安全部门没有回复美国之音的询问。
背后中资公司不仅一家
除声网之外,斯坦福大学网络观测平台主任斯塔莫斯在推特上发文透露,他的研究还发现了Clubhouse可能还使用了一个名为“GUANGZHOU ENJOY_VC COMMUNICATION TECHNOLOGY CO., LTD.”的服务器,这指向了广州朗桥维视通信技术有限公司。
朗桥维视的官方网站说,该公司创始于2013年,以基于Web RTC通信技术为核心,提供全平台互通的实时音视频互动服务。公司香港官网还说,向全球提供分布式互联网数据中心(IDC)服务,以广州为中国境内核心节点、以香港为境外核心节点,在韩国、东南亚、欧洲和美洲多个国家有IDC和互联专线。
朗桥维视广州总部在回复给美国的电子邮件中没有证实或否认该公司与Clubhouse的合作关系,称其对客户相关信息严格保密,因此无法置评。
另外,《华盛顿邮报》此前报道,Clubhouse还使用了中国层峰网络(Zenlayer)公司的技术服务。报道说,层峰网络和声网一样,都可能被迫向中国政府提供数据。
层峰网络美国公司没有回复美国之音通过电子邮件发出的询问。
中国审查员可能已经加入Clubhouse聊天室
斯坦福大学的研究人员说,如果中国政府通过声网获取用户数据,中国大陆的Clubhouse用户可能会面临麻烦。但他们也指出,中国政府很可能无需借助Clubhouse或声网即可访问大陆用户的数据或元数据,拥有潜在获取数据的途径也不等于中国政府实际获取了数据。
在Clubhouse的中文聊天室的谈话中,审查是许多人担心的问题。《纽约时报》报道说,1月8日下午在一个Clubhouse聊天室中,一个自称在中国某大型社交媒体平台负责审查工作员工告诉聊天室里的参与者,任何人都不要认为自己可以逃避政府的监听监视。
在推特上,一位名叫“pandakiller”的网友说,他目睹了Clubhouse聊天室中已经有中国公安人员正在进行如何使用Clubhouse的演练。
美国前高级情报官员、中国情报事务专家尼古拉斯·埃菲迪米亚德斯(Nicholas Eftimiades)告诉美国之音,虽然有时难以判定中国科技公司与中国政府的实际联系,但真正的问题在于,如果有中国政府想要的、有价值的数据,没有中国公司可以拒绝交出这些数据,这在2017年开始实施的《网络安全法》就有了明文规定。
“特别是如果他们在中国经营,他们别无选择。因此,这里的实际相互关系在于,这些公司收集什么数据以及这些数据是否对中共有用。” 埃菲迪米亚德斯说:“我们已经看到这扩展涉及到许多不同类型的数据,从医疗数据,人事信息,财务信息,到人际网络联系和个人联系等等,这是中国政府希望收集的一批相当广泛的数据。”