被黑客“脱裤”,ClubHouse面临一场隐私劫难

安全牛 2021-02-24 10:55

点击蓝字关注我们





近日在硅谷和中国互联网圈风靡的语音聊天室应用ClubHouse无疑是已经沉寂了五年的互联网创新冰河期的一把烈火,事实上,无论是中国的BAT(搜索、电商、社交/游戏)、还是硅谷的FAANG(社交、智能手机、电商、视频、搜索),过去十年都没有什么像样的颠覆性创新了。


ClubHouse是一款无论技术、产品还是体验都与上一个十年,甚至上个世纪的BBS聊天室别无二致,甚至更加“原始”(语音是非结构化数据,比文本和视频制作成本和门槛低)的产品,就像一套落满灰尘的绝版乐高玩具,一夜之间成了凡尔赛爆款,引发了国内的一波汹涌到山寨热潮。


ClubHouse在中国金融互联网圈激发的亢奋状况,从春节前持续到了现在。甚至ClubHouse的邀请码,也成了仅次于北大附中校服的朋友圈顶级凡尔赛晒图。


从“听房”到“脱裤”


与过去半年的加密货币行情一样,惊喜的背后通常是惊悚。与被硅谷巨头围攻,最终因安全漏洞被“屠城”的特朗普御用社交平台Parler一样,ClubHouse近日也爆出了重大隐私和安全事件,可概括为以下两点:


  • ClubHouse聊天室被窃听;

  • 大量用户数据被“脱裤”(身份不明的用户将语音聊天流数据传输到自己的网站)。


据彭博社报道,在信誓旦旦承诺正在采取措施确保用户数据不会被恶意黑客或间谍窃取的一周后,ClubHouse近日承认有攻击者对该平台的用户成功实施了窃听并有数量不明的用户数据被“拖库”到第三方网站。


斯坦福互联网观测台(Stanford Internet Observatory,简称SIO)于2月13日首次公开了ClubHouse的安全问题,警告用户所有对话都会被记录在案。SIO和Facebook Inc.前安全负责人Alex Stamos指出:“Clubhouse无法为世界各地进行的对话提供任何隐私保证。”


据安全人士透露,周末偷窃ClubHouse音频的攻击者围绕用于编译Clubhouse应用程序的JavaScript工具包开发了自己的系统。SIO表示对ClubHouse进行了安全评估,但并不确定攻击者的来历或身份。


SIO的研究员Jack Cable说,尽管Clubhouse拒绝透露采取了何种措施来防止类似的违规行为,但解决方案可能包括阻止使用第三方应用程序访问聊天室音频或限制用户同时进入的房间数量。


Clubhouse发言人Reema Bahnasy说,一个身份不明的用户在本周末将“多个房间”的Clubhouse音频流传输到自己的第三方网站中。尽管该公司表示已“永久封禁”该用户并采取了新的“防护措施”以防止重复发生,但安全研究人员认为ClubHouse可能自己都不知道自己兑现不了承诺。


显然,Clubhouse计划采取的安全措施要么不够充分,要么尚未实施。


根据SIO研究员Jack Cable的说法,Clubhouse拒绝透露未来将采取什么额外措施来避免此类违规行为。


澳大利亚堪培拉的Internet 2.0首席执行官Robert Potter则认为:“真正的问题是,人们认为这些对话永远是私人(秘)的。”


头号赢家


除了用户自身的安全错觉外,ClubHouse使用中国公司的实时语音技术服务也引发了外媒和安全人员的焦虑。


Stamos说,ClubHouse对位于中国初创公司Agora(声网)的依赖引起了广泛的隐私焦虑,特别是对特定人群而言,他们的谈话超出了审查范围。


在接受彭博社采访时,Agora表示,它无法对Clubhouse的安全或隐私协议发表评论,并坚称它不会为任何客户“存储或共享个人身份信息”,而Clubhouse只是其客户之一。该公司表示:“我们致力于使我们的产品尽可能地安全。”


在Agora官网首页的显要位置,安全牛发现除了ISO27001、GDPR和HIPPA等隐私与数据安全相关法规和标准(作为中国公司,Agora也需要尊重中国的《网络安全法》)外,还可以看到Agora的“安全与合规”声明:


兼具数据安全保障和个人隐私保护的RTE可靠服务 

服务每一位开发者 尊重每一位终端用户


Clubhouse最近筹集了1亿美元,估值为10亿美元,但真正的大赢家是Agora,自一月中旬以来,Agora的股价已经飙升了150%以上,市值接近100亿美元。


2月初,中国的ClubHouse用户表示,由于敏感话题讨论激增,他们已无法访问该应用程序。但是部分“强力”用户仍然可以使用虚拟专用网络来访问该应用程序(新用户需要拥有海外手机卡接受确认码)。


当邀请码、防火墙、境外手机卡都无法阻止人们对ClubHouse的狂热追捧时,也许一次重大隐私数据泄漏事故才是给失控的“反应堆”降温的唯一有效的“缓解措施”。


相关阅读

数据安全治理的“治”与“理”

如何实现隐私法规要求的 “合理安全性”?

【安全讲堂】五个提高隐私保护意识的有效方法


合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com