Clubhouse寫入對話並掃描聯繫人。這不是社交網絡中的安全性

申請變得越來越受歡迎，但他的隱私有更多的問題。

在2021年1月，俱樂部屋開始在美國和歐洲獲得人氣，然後在俄羅斯：世界各地都有數百萬用戶在俄羅斯聯邦，超過十萬用戶。 TJ說，收集俱樂部房間的數據，在那裡他們可以在社交網絡中留下危險的地方。

記錄房間的談話。官方解釋 - 適度

許多人錯誤地相信，在溝通的情況下，Claubhouse的溝通被同樣的原則排列。在社交網絡中，甚至還有正式禁止錄音對話。根據規則，如果在未經對話中的所有參與者的書面許可的情況下執行此操作，則該服務可以阻止該帳戶。

當您嘗試編寫屏幕時違反規則的通知。發布者：屏幕截圖TJ

但該服務可以記錄房間中的對話並保持一段時間 - 這在隱私政策中介紹。申請創作者聲稱，安全性需要這些數據，例如，在恐怖主義威脅的情況下，敵意語言的表現或不同意的個人數據的出版。如果申訴未到達，則服務說，如果刪除保存的音頻錄製。

如何記錄俱樂部中的對話以及數據存儲多長時間仍然未知。就機密性而言，有一個“暫時”一詞 - 它可能意味著幾分鐘，幾年。德國和意大利監管機構已經要求公開解釋數據轉移政策如何與歐洲隱私法相結合。

雖然俱樂部院是在與這些或其他當局合作的有爭議的案例中沒有看到。但一切都可以改變：因此，更好地不公開討論機密信息。

Clubhouse掃描了一份聯繫人。官方解釋 - 用於分發邀請

Clubhouse的一個主要特徵之一是邀請力學，專注於社會資本。可以看到社交網絡的成員，包括他們所涉及的那些房間或講述簽名的房間 - 還沒有方便的搜索。

在安裝應用程序時，應用程序請求訪問聯繫人列表的許可，然後提供從地址簿中的每個人從工作中的同事到長期以來。

我是俱樂部。我不是什麼？我的iPhone接觸到其服務器的積極呼吸。
目前無法刪除此功能。 Clubhouse告訴我它計劃將一個按鈕添加到應用程序，允許您盡快刪除此數據。
https://on.wsj.com/3k10nze. https://t.co/kmvcoopsu9。

- Joannastern（@Joanna Stern）1613675049。

該應用程序的作者解釋了掃描聯繫人發出邀請的必要性。與此同時，對於用戶的邀請，不是正式需要整個地址簿，而是只需要一個特定的號碼。但如果您沒有向電話簿提供社交網絡，那麼它將不允許分發邀請。

許多聯繫人不僅有來自現實生活的朋友，還有同事，老闆，個人醫生或例如他們曾經約會的人。記者在電話簿中，還有可能保證匿名的信息來源。

當您加入俱樂部院時，它會告訴您俱樂部中已經有多少個白曲面，所以現在我知道有多少人毒販，治療師，律師和房子清潔

- Isislovecrefft（@isis Agora Lovecruft（他們/他們））1612308971。

當俱樂部用戶打開訪問房間時，它向開發人員報告：與特定人員有關，它們與其相關聯。很容易想像一些用戶如何推薦那些他目前現實生活的人更喜歡避免。

為了社交網絡的司法並沒有表明這些“共同朋友”。但假設服務存儲此信息是合乎邏輯的。

俱樂部用戶可以邀請的地址簿中的與聯繫人的部分。發布者：屏幕截圖TJ

機械師“問候”也是不安全的 - 它可以從通話書中獲取。註冊新的用戶俱樂部時，請向他的聯繫人發送推送，並提供私人房間進行問候室。

“新手”自己甚至可能甚至不到“關閉”聊天。但是，如果您不小心按下其他用戶的推送通知，他們的風險在尷尬的情況下發現：房間的參與者可能彼此不了解，而不是有滿足的願望。

“歡迎來到Clubhouse！你想開始一個房間你會在Okcupid上遇到的女性，並告訴你的名字是馬克，你離婚了，你已經7年了，只有在我Google你的電話號碼時發現了真相？哈哈 ！！你好？ ” https://t.co / 0tigocsvht

- caraghpoh（@caragh）1612664050

Clubhouse使用中國工人並在打開中傳輸用戶ID

也許關於俱樂部屋的大多數問題都發現了作者使用中國公司Agora的發展來轉移實時音頻。斯坦福互聯網觀測所研究人員（SIO）發現了這一事實，然而，他們甚至沒有隱藏他。

專家們分析了Clubhouse Web交通，如Wireshark等公用公司。事實證明，數據直接留給屬於Agora的服務器：例如，QoS-America.Agoralab.co。當加入通道時，應用程序生成一個元數據包，用於專門針對中國公司的後端基礎設施發送。

此信息包含每個用戶的數據，包括他加入的唯一配置文件ID和房間。此俱樂部房間數據以打開的形式傳輸而不加密：任何人都可以追踪特定用戶的移動，“捕獲”網絡的網絡。

Agora - 成立於上海創業公司，位於矽谷的總部。它銷售其他公司可以訪問語音處理和實時視頻平台。由於這個初創公司，俱樂部似乎不需要從頭開始創建基礎：團隊可以將力量發送給其他任務。最終用戶通常可能不知道應用程序在Agora平台上運行，因為它在用戶協議中沒有說。

廣告Agora。發布者：@Agoraio。

自俱樂部房間在處理音頻實時依​​靠Agora技術時，研究人員認為中國公司可以訪問未壓縮的音頻流。實際上，包括通過其服務器談話。

根據斯坦福的專家介紹，使用Agora的發展的主要危險是該公司承諾遵守中國法律。如果中國政府考慮某種對國家安全危險的對話，該公司將允許當局學習進入。

Agora已經說明他們不存儲用戶數據，除了跟踪網絡活動所需的數據。該公司聲稱它只是一個“指揮”，其客戶端通常會加密數據。

在這種情況下，中國政府將無法訪問俱樂部。但是，理論上，當局可以“侵入”網絡並自己寫下必要的對話，將其視為SIO。這種對齊可能會影響中國Clabukhaus用戶，儘管在該國阻止，但使用該應用程序。

結果：是俱樂部安全

考慮到在工作的一個關鍵方面的Clabukhaus依賴於第三方公司的平台，以打開的形式傳輸數據而不加密並寫入對話，不能被認為是安全的。大大取決於存儲錄音的位置：如果他們在美國，那麼中文或任何其他政府將無法訪問。但它不會消除對美國用戶的風險。

Clubhouse的代表是回應調查SIO的說法，只有少量的中國服務器的用戶數據被發送到中國服務器 - 確保對話中最小的延遲。申請的作者承諾聽取專家的建​​議並添加“額外加密”。該服務承諾不再使用中國服務器並吸引第三方公司來評估代碼的安全性。

該出版物SIO指出了關於AGORA和“開放”形式的數據傳輸的信息不是CLABUKHAUS安全的唯一問題。在他們被糾正之前，研究人員決定不報告公共場合的其他弱點，而是將信息轉移到開發人員。

#clubhouse＃隱私#seauft＃社交網絡

來源