情境示意圖,Original photo credit Dmitry Mashkin on unsplash

史丹佛大學的網路觀測計畫(Stanford Internet Observatory,SIO)針對近日爆紅的語音社交平臺Clubhouse展開了研究,指出Clubhouse的確是採用了來自中國的語音平臺Agora,而且在Clubhouse建立的聊天室元資料(Metadata)的傳送,亦經過位於中國的伺服器。

Agora為上海的一家新創業者,專門提供即時語音及影像交流平臺予其它軟體業者,而業者則在此一架構上建立服務介面與功能,因此使用者不見得知道它背後的系統為Agora。

先前即有媒體報導Clubhouse後端的語音架構源自於中國業者Agora,而SIO研究人員的追蹤顯示,Clubhouse的流量的確被導至由Agora控制的伺服器,當使用者加入一個頻道時,它就會產生一個封包並傳送至Agora。該封包內含每位使用者的元資料,包括他們的Clubhouse ID號碼,以及所加入的聊天室ID,且資料的傳送是未加密的,意謂著可存取該流量的第三方都能存取元資料。

此外,從Agora的文件來看,Agora也許可以存取Clubhouse的原始語音流量,除非Clubhouse採用了端對端加密(E2EE),否則這些語音流量就能被攔截、轉錄或儲存,但Clubhouse看起來不像是部署了端對端加密機制。

雖然Agora同時在美國與中國都部署了伺服器,但SIO至少在一個例子中看見,聊天室的元資料傳遞經過了位於中國境內的伺服器,而且語音也透過由中國實體管理的伺服器再傳送到全世界,這些語音也可能連結了Clubhouse用戶的ID與個人檔案。

一來Agora受到中國法令的管轄,二來當未加密的流量經過中國時,很可能難逃中國的監控網路,而讓使用者的隱私與安全曝險。

研究人員指出,他們選擇揭露了這些安全議題是因為它們很容易被發現,而且可能立即對Clubhouse用戶帶來安全威脅,特別是Clubhouse的中國用戶。這是因為Clubhouse一度出現了許多中國人熱烈討論各種遭禁的議題,像是新疆維吾爾族集中營、天安門事件,還有人道出被中國公安審查的過程,而中國最終也在2月8日封鎖了Clubhouse

SIO強調,他們只是探討中國監控Clubhouse的可能性,並不代表中國政府真的監控了Clubhouse用戶,除了這些可能替中國民眾帶來秋後算帳的威脅之外,研究人員也發現了Clubhouse上的其它安全漏洞,未來將於適當時間公布。


熱門新聞

Advertisement