2 月 22 日上午消息,据报道,广受欢迎的音频聊天室应用 Clubhouse 曾表示将采取措施确保用户数据不会被恶意黑客或间谍窃取。然而现在,至少有一名网络攻击者证明了 Clubhous 平台的实时音频是可以被窃取的。
Clubhouse 发言人瑞玛 · 巴纳西(Reema Bahnasy)表示,本周末,一位身份不明的用户能够将 Clubhouse 的音频从 “多个房间”传送到他们自己的第三方网站上。
虽然 Clubhouse 公司表示将 “永久禁止”这一用户,并配备了新的 “安全措施”以防止此类事件再次出现。但仍有研究人员认为,Clubhouse 平台可能永远无法兑现这样的承诺。
2 月 13 日,斯坦福互联网天文台(Stanford Internet Observatory)首次公开提出了 Clubhouse 的安全问题。该机构周日晚些时候表示,使用这款只有受邀才能使用的 iOS 应用程序的用户应假定所有对话都会被录音。
Facebook 公司前安全主管、SIO 现任主管亚历克斯 · 斯塔莫斯(Alex Stamos)表示:“Clubhouse 不能为发生在世界各地的任何一场谈话提供任何隐私承诺。”
斯塔莫斯和他的团队还证实,Clubhouse 依靠一家总部位于上海的初创公司 Agora Inc. 来处理其大部分后台业务。斯塔莫斯称,虽然 Clubhouse 公司主要负责用户体验,比如添加新朋友和寻找房间,但该平台的数据流量处理和音频制作服务仍然依赖这家中国公司。
斯塔莫斯称,Clubhouse 对 Agora 的依赖引发了广泛的隐私担忧。Agora 表示,它不能对 Clubhouse 的安全或隐私协议发表评论,并坚称不会为任何客户 “存储或共享个人身份信息”,Clubhouse 只是其中之一。Agora 公司表示:“我们致力于使我们的产品尽可能安全。”
上周末,网络安全专家注意到,有一些音频和元数据被从 Clubhouse 平台移到了另一个网站。位于澳大利亚堪培拉(Canberra, Australia)的 Internet 2.0 的首席执行官罗伯特 · 波特(Robert Potter)表示:“一个用户建立了一种与世界其他地方远程共享其登录信息的方法。真正的问题是,人们竟认为这些对话从来都是私密的。”
周末音频盗窃背后的幕后黑手围绕用于编译俱乐部会所应用程序的 JavaScript 工具包构建了自己的系统。斯塔莫斯认为,他们实际上是临时搭建了平台。SIO 公开宣称尚未确定袭击者的来源或身份。
SIO 的研究员杰克 · 凯布尔(Jack Cable)称,虽然 Clubhouse 拒绝解释究竟采取了哪些措施来防止类似的违规行为,但解决方案可能包括防止使用第三方应用程序访问聊天室音频而不实际进入聊天室,或者只是限制用户可以同时进入的聊天室数量。
最近,Clubhouse 以 10 亿美元的估值融资了 1 亿美元。自 1 月中旬以来,Agora 的股价已经飙升了 150% 以上,现在它的市值接近 100 亿美元。
