資料來源:TANet CERT台灣學術網路危機處理中心

https://www.twcert.org.tw/tw/cp-104-4431-92d00-1.html

 

近期熱門的語音社交軟體Clubhouse,遭美國史丹佛大學研究人員發現,其後端基礎架構源於中國業者Agora,引起數據傳輸的資安疑慮。

近期在全球迅速竄紅的語音社交軟體Clubhouse,遭美國史丹佛大學網路觀測計畫(Stanford Internet Observatory,SIO)的研究人員證實,Clubhouse系統後端的基礎架構,源自中國業者聲網(Agora)提供的音訊技術,並且有機會使聊天室內的詮釋資料(Metadata)遭中國政府取得。

研究人員透過封包追蹤分析等技術,至少一個實例中發現於聊天室建立的Metadata,曾被傳送至位於上海總部的Agora伺服器。SIO的報告中說明,Clubhouse用戶的使用者ID、聊天室ID會以純文字的形式進行傳輸,並未進行加密,表示任何有權限的第三方都能存取這些資料,因此Agora也有可能能夠存取用戶發言的原始語音資料。

SIO的分析報告中顯示,Clubhouse目前未針對聊天室內的語音資料進行端到端加密(End-to-end encryption, E2EE),因此這些資料有可能在傳輸的途中被攔截、轉錄或儲存於Agora的伺服器之中。

雖然Agora說明除了監控網路品質並向客戶收費之外,不會存取用戶的語音資料和Metadata,但Agora身為中國境內公司,受到中國法規的管轄,在必要時需協助提供資料給政府。而Clubhouse的隱私權政策中指出,Clubhouse將基於信任與安全調查的目的,會短暫紀錄用戶的音訊資料,但未說明資料被儲存的實際時間。