吳明宜Clubhouse 資安疑慮未消 聊天音訊遭外洩側錄
最近火紅的語音社交 App-Clubhouse 近日被一位第三方開發人員開發出讓 Android 手機用戶能存取的開放原始碼程式,使 Clubhouse 平台上的語音通訊外洩。
2020 年 3 月上線的 Clubhouse 僅限 iPhone 用戶以邀請制加入群組聊天。在科技界明星如馬斯克 (Elon Musk)、臉書執行長 Mark Zuckerberg 的推薦下,短時間內爆紅,現今 Clubhouse 用戶已超過千萬。
不用邀請碼就可登入 Clubhouse 聊天室
不過彭博新聞本周報導 Clubhouse 被一名身份不明的使用者駭入。一名開發人員開發了一支應用程式,讓任何人都能進入 Clubhouse 聊天室,不需要邀請碼就可聽到各個聊天群組的通訊內容,他並把程式碼上傳到 GitHub 上公開。這位「身份不明的用戶」本周末還將 Clubhouse 上多個聊天室的語音紀錄傳送到他的個人網站。
發現本次事件的研究人員 John Furrier 指出,Clubhouse 一大問題在於它將服務架在上海一家公司 Agora 的伺服器上,以管理資料流量和聲音資料。這名用戶(駭客)先讓一台 iPhone 當機,逆向工程解析 Clubhouse App,再以機器人程式 (bot) 的「惡意程式碼」呼叫 Agora 伺服器,然後取得聊天室 ID,最後將聲音資料串流、分享出來。如果這台 iPhone 上的機器人程式遭封鎖,再找另一台 iPhone 下手即可。
雖然這款 App 的伺服器流量源自香港,但從開發人員使用的簡體字判斷,應是中國籍。在經過彭博報導後,這款 App 存取 Clubhouse 的管道已經被封鎖。Clubhouse 發言人也表示已加入防護措施,避免 Clubhouse 再被第三方應用程式存取。
Agora 對彭博指出,該公司絕未儲存或分享客戶的個人識別資料。
Furrier 表示,這名用戶是刻意存取 Clubhouse,雖然不見得是惡意的,但卻讓個人用戶或企業用戶曝露於隱私風險下。尤其這讓政府得以掌握目標個人之通訊,像是異議人士或記者。
但研究人員也指出,使用者本身的觀念也要釐清,Clubhouse 用戶都應有「所有對話都會被人錄音」的體認,因此真正重要的通訊應避免使用這款 App。
這是 Clubhouse 最新一樁隱私爭議。隱私顧問公司 PIX 創辦人 Lourdes Turrecha 指出,Clubhouse 的設計並不重視隱私,例如它不但會蒐集用戶個人資訊,也會蒐集用戶聯絡人資料,還會擅自存取用戶的推特帳號。