Clubhouse写入对话并扫描联系人。这不是社交网络中的安全性

申请变得越来越受欢迎，但他的隐私有更多的问题。

在2021年1月，俱乐部屋开始在美国和欧洲获得人气，然后在俄罗斯：世界各地都有数百万用户在俄罗斯联邦，超过十万用户。 TJ说，收集俱乐部房间的数据，在那里他们可以在社交网络中留下危险的地方。

记录房间的谈话。官方解释 - 适度

许多人错误地相信，在沟通的情况下，Claubhouse的沟通被同样的原则排列。在社交网络中，甚至还有正式禁止录音对话。根据规则，如果在未经对话中的所有参与者的书面许可的情况下执行此操作，则该服务可以阻止该帐户。

当您尝试编写屏幕时违反规则的通知。发布者：屏幕截图TJ

但该服务可以记录房间中的对话并保持一段时间 - 这在隐私政策中介绍。申请创作者声称，安全性需要这些数据，例如，在恐怖主义威胁的情况下，敌意语言的表现或不同意的个人数据的出版。如果申诉未到达，则服务说，如果删除保存的音频录制。

如何记录俱乐部中的对话以及数据存储多长时间仍然未知。就机密性而言，有一个“暂时”一词 - 它可能意味着几分钟，几年。德国和意大利监管机构已经要求公开解释数据转移政策如何与欧洲隐私法相结合。

虽然俱乐部院是在与这些或其他当局合作的有争议的案例中没有看到。但一切都可以改变：因此，更好地不公开讨论机密信息。

Clubhouse扫描了一份联系人。官方解释 - 用于分发邀请

Clubhouse的一个主要特征之一是邀请力学，专注于社会资本。可以看到社交网络的成员，包括他们所涉及的那些房间或讲述签名的房间 - 还没有方便的搜索。

在安装应用程序时，应用程序请求访问联系人列表的许可，然后提供从地址簿中的每个人从工作中的同事到长期以来。

我是俱乐部。我不是什么？我的iPhone接触到其服务器的积极呼吸。
目前无法删除此功能。 Clubhouse告诉我它计划将一个按钮添加到应用程序，允许您尽快删除此数据。
https://on.wsj.com/3k10nze. https://t.co/kmvcoopsu9。

- Joannastern（@Joanna Stern）1613675049。

该应用程序的作者解释了扫描联系人发出邀请的必要性。与此同时，对于用户的邀请，不是正式需要整个地址簿，而是只需要一个特定的号码。但如果您没有向电话簿提供社交网络，那么它将不允许分发邀请。

许多联系人不仅有来自现实生活的朋友，还有同事，老板，个人医生或例如他们曾经约会的人。记者在电话簿中，还有可能保证匿名的信息来源。

当您加入俱乐部院时，它会告诉您俱乐部中已经有多少个白曲面，所以现在我知道有多少人毒贩，治疗师，律师和房子清洁

- Isislovecrefft（@isis Agora Lovecruft（他们/他们））1612308971。

当俱乐部用户打开访问房间时，它向开发人员报告：与特定人员有关，它们与其相关联。很容易想象一些用户如何推荐那些他目前现实生活的人更喜欢避免。

为了社交网络的司法并没有表明这些“共同朋友”。但假设服务存储此信息是合乎逻辑的。

俱乐部用户可以邀请的地址簿中的与联系人的部分。发布者：屏幕截图TJ

机械师“问候”也是不安全的 - 它可以从通话书中获取。注册新的用户俱乐部时，请向他的联系人发送推送，并提供私人房间进行问候室。

“新手”自己甚至可能甚至不到“关闭”聊天。但是，如果您不小心按下其他用户的推送通知，他们的风险在尴尬的情况下发现：房间的参与者可能彼此不了解，而不是有满足的愿望。

“欢迎来到Clubhouse！你想开始一个房间你会在Okcupid上遇到的女性，并告诉你的名字是马克，你离婚了，你已经7年了，只有在我Google你的电话号码时发现了真相？哈哈 ！！你好？ ” https://t.co / 0tigocsvht

- caraghpoh（@caragh）1612664050

Clubhouse使用中国工人并在打开中传输用户ID

也许关于俱乐部屋的大多数问题都发现了作者使用中国公司Agora的发展来转移实时音频。斯坦福互联网观测所研究人员（SIO）发现了这一事实，然而，他们甚至没有隐藏他。

专家们分析了Clubhouse Web交通，如Wireshark等公用公司。事实证明，数据直接留给属于Agora的服务器：例如，QoS-America.Agoralab.co。当加入通道时，应用程序生成一个元数据包，用于专门针对中国公司的后端基础设施发送。

此信息包含每个用户的数据，包括他加入的唯一配置文件ID和房间。此俱乐部房间数据以打开的形式传输而不加密：任何人都可以追踪特定用户的移动，“捕获”网络的网络。

Agora - 成立于上海创业公司，位于硅谷的总部。它销售其他公司可以访问语音处理和实时视频平台。由于这个初创公司，俱乐部似乎不需要从头开始创建基础：团队可以将力量发送给其他任务。最终用户通常可能不知道应用程序在Agora平台上运行，因为它在用户协议中没有说。

广告Agora。发布者：@Agoraio。

自俱乐部房间在处理音频实时依靠Agora技术时，研究人员认为中国公司可以访问未压缩的音频流。实际上，包括通过其服务器谈话。

根据斯坦福的专家介绍，使用Agora的发展的主要危险是该公司承诺遵守中国法律。如果中国政府考虑某种对国家安全危险的对话，该公司将允许当局学习进入。

Agora已经说明他们不存储用户数据，除了跟踪网络活动所需的数据。该公司声称它只是一个“指挥”，其客户端通常会加密数据。

在这种情况下，中国政府将无法访问俱乐部。但是，理论上，当局可以“侵入”网络并自己写下必要的对话，将其视为SIO。这种对齐可能会影响中国Clabukhaus用户，尽管在该国阻止，但使用该应用程序。

结果：是俱乐部安全

考虑到在工作的一个关键方面的Clabukhaus依赖于第三方公司的平台，以打开的形式传输数据而不加密并写入对话，不能被认为是安全的。大大取决于存储录音的位置：如果他们在美国，那么中文或任何其他政府将无法访问。但它不会消除对美国用户的风险。

Clubhouse的代表是回应调查SIO的说法，只有少量的中国服务器的用户数据被发送到中国服务器 - 确保对话中最小的延迟。申请的作者承诺听取专家的建议并添加“额外加密”。该服务承诺不再使用中国服务器并吸引第三方公司来评估代码的安全性。

该出版物SIO指出了关于AGORA和“开放”形式的数据传输的信息不是CLABUKHAUS安全的唯一问题。在他们被纠正之前，研究人员决定不报告公共场合的其他弱点，而是将信息转移到开发人员。

#clubhouse＃隐私#seauft＃社交网络

来源