Clubhouse音频数据遭泄露 引发安全性担忧

2月22日上午消息，据报道，广受欢迎的音频聊天室应用Clubhouse曾表示将采取措施确保用户数据不会被恶意黑客或间谍窃取。然而现在，至少有一名网络攻击者证明了Clubhous平台的实时音频是可以被窃取的。

Clubhouse发言人瑞玛·巴纳西（Reema Bahnasy）表示，本周末，一位身份不明的用户能够将Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。

虽然Clubhouse公司表示将“永久禁止”这一用户，并配备了新的“安全措施”以防止此类事件再次出现。但仍有研究人员认为，Clubhouse平台可能永远无法兑现这样的承诺。

2月13日，斯坦福互联网天文台（Stanford Internet Observatory）首次公开提出了Clubhouse的安全问题。该机构周日晚些时候表示，使用这款只有受邀才能使用的iOS应用程序的用户应假定所有对话都会被录音。

Facebook公司前安全主管、SIO现任主管亚历克斯·斯塔莫斯（Alex Stamos）表示：“Clubhouse不能为发生在世界各地的任何一场谈话提供任何隐私承诺。”

斯塔莫斯和他的团队还证实，Clubhouse依靠一家总部位于上海的初创公司Agora Inc.来处理其大部分后台业务。斯塔莫斯称，虽然Clubhouse公司主要负责用户体验，比如添加新朋友和寻找房间，但该平台的数据流量处理和音频制作服务仍然依赖这家中国公司。

斯塔莫斯称，Clubhouse对Agora的依赖引发了广泛的隐私担忧。Agora表示，它不能对Clubhouse的安全或隐私协议发表评论，并坚称不会为任何客户“存储或共享个人身份信息”，Clubhouse只是其中之一。Agora公司表示：“我们致力于使我们的产品尽可能安全。”

上周末，网络安全专家注意到，有一些音频和元数据被从Clubhouse平台移到了另一个网站。位于澳大利亚堪培拉（Canberra, Australia）的Internet 2.0的首席执行官罗伯特·波特（Robert Potter）表示：“一个用户建立了一种与世界其他地方远程共享其登录信息的方法。真正的问题是，人们竟认为这些对话从来都是私密的。”

周末音频盗窃背后的幕后黑手围绕用于编译俱乐部会所应用程序的JavaScript工具包构建了自己的系统。斯塔莫斯认为，他们实际上是临时搭建了平台。SIO公开宣称尚未确定袭击者的来源或身份。

SIO的研究员杰克·凯布尔（Jack Cable）称，虽然Clubhouse拒绝解释究竟采取了哪些措施来防止类似的违规行为，但解决方案可能包括防止使用第三方应用程序访问聊天室音频而不实际进入聊天室，或者只是限制用户可以同时进入的聊天室数量。

最近，Clubhouse以10亿美元的估值融资了1亿美元。自1月中旬以来，Agora的股价已经飙升了150%以上，现在它的市值接近100亿美元。

原文来自: FreeBuf