Clubhouse資安疑慮未消 聊天音訊遭外洩側錄

最近火紅的語音社交App-Clubhouse近日被一位第三方開發人員開發出讓Android 手機用戶能存取的開放原始碼程式,使Clubhouse平台上的語音通訊外洩。

最近火紅的語音社交App-Clubhouse近日被一位第三方開發人員開發出讓Android 手機用戶能存取的開放原始碼程式,使Clubhouse平台上的語音通訊外洩。

2020年3月上線的Clubhouse僅限iPhone用戶以邀請制加入群組聊天。在科技界明星如馬斯克(Elon Musk)、臉書執行長Mark Zuckerberg的推薦下,短時間內爆紅,現今Clubhouse用戶已超過千萬。

不用邀請碼就可登入Clubhouse聊天室

不過彭博新聞本周報導Clubhouse被一名身份不明的使用者駭入。一名開發人員開發了一支應用程式,讓任何人都能進入Clubhouse聊天室,不需要邀請碼就可聽到各個聊天群組的通訊內容,他並把程式碼上傳到GitHub上公開。這位「身份不明的用戶」本周末還將Clubhouse上多個聊天室的語音紀錄傳送到他的個人網站。

發現本次事件的研究人員John Furrier指出,Clubhouse一大問題在於它將服務架在上海一家公司Agora的伺服器上,以管理資料流量和聲音資料。這名用戶(駭客)先讓一台iPhone當機,逆向工程解析Clubhouse App,再以機器人程式(bot)的「惡意程式碼」呼叫Agora伺服器,然後取得聊天室ID,最後將聲音資料串流、分享出來。如果這台iPhone上的機器人程式遭封鎖,再找另一台iPhone下手即可。

雖然這款App的伺服器流量源自香港,但從開發人員使用的簡體字判斷,應是中國籍。在經過彭博報導後,這款App存取Clubhouse的管道已經被封鎖。Clubhouse發言人也表示已加入防護措施,避免Clubhouse再被第三方應用程式存取。

Agora對彭博指出,該公司絕未儲存或分享客戶的個人識別資料。

Furrier表示,這名用戶是刻意存取Clubhouse,雖然不見得是惡意的,但卻讓個人用戶或企業用戶曝露於隱私風險下。尤其這讓政府得以掌握目標個人之通訊,像是異議人士或記者。

但研究人員也指出,使用者本身的觀念也要釐清,Clubhouse用戶都應有「所有對話都會被人錄音」的體認,因此真正重要的通訊應避免使用這款App。

這是Clubhouse最新一樁隱私爭議。隱私顧問公司PIX 創辦人Lourdes Turrecha指出,Clubhouse的設計並不重視隱私,例如它不但會蒐集用戶個人資訊,也會蒐集用戶聯絡人資料,還會擅自存取用戶的推特帳號。

來源:Silicon Angle

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416