專家提醒：不建議中國用戶在Clubhouse進行敏感對話

【美博翻牆2021.2.20】據美國之音報道：Clubhouse在中國被禁，但仍有不少海外中國用戶和國區域網路民通過VPN在聊天室里暢所欲言。有專家警告中國網民，Clubhouse的加密方式仍可能導致數據傳輸被第三方截取，如果擔心｢因言獲罪｣，在聊天室暢談敏感話題需謹慎。

Clubhouse被爆曾使用中國伺服器、數據不加密

和世界各地的網路用戶就特定主題進行語音實時聊天、音頻資料不會被長期存檔，這讓Clubhouse在那希望希望自由發表言論的中國網民中大受歡迎。不過，有研究發現，這款應用程式1月8日在中國被封前後，有關聊天室的數據曾經被傳送到了中國公司管理的網路伺服器。資訊安全專家說，如果用戶擔心中國當局監聽，Clubhouse不是發表敏感言論的合適場所。

斯坦福大學網路觀測平台（Stanford Internet Observatory）主任、臉書公司前首席安全官亞歷克斯·斯塔莫斯（Alex Stamos）星期二（2月16日）在推特上說，研究人員發現中國科技公司的伺服器被用於處理Clubhouse的用戶語音交談數據，這不只限於中國用戶，也涉及美國用戶。

他說：｢目前，對於那些可能因為中華人民共和國的安全服務陷入不利處境的個人，我不建議他們用Clubhouse進行敏感的對話。｣

斯坦福大學網路觀測平台此前發布調查報告說，位於上海的實時音視頻互動技術公司聲網（Agora）為Clubhouse提供技術支持。斯塔莫斯說，聲網的服務是Clubhouse功能運行的根本。

他說，在美國和中國基礎設施之間｢建立邏輯上和技術上的控制｣十分困難。

斯坦福網路觀測平台認定，Clubhouse的用戶以及聊天室的ID都是用未加密的手段明文傳輸，同時聲網公司很有可能有訪問用戶語音原始數據的許可權，並且有可能把這些許可權轉讓給政府機構。

資訊安全與隱私專家、計算機安全技術公司Avast美國分部全球威脅通訊部門高級總監、克里斯托弗·巴德（Christopher Budd）指出，Clubhouse的功能設計本身並沒有強調語音數據的全程保密。

巴德對美國之音說：｢Clubhouse沒有對外宣稱提供端到端加密（end-to-end encryption），因此，這首先就意味著數據可能會在傳輸過程中被截獲，即使他們說他們不記錄也不保存信息，但在他們實施端到端加密之前，信息截獲始終是一個風險。｣

巴德說，這不代表Clubhouse的安全性存在缺陷。他強調，在通訊交流中，｢做什麼事都要用對合適的工具｣。他說：｢Clubhouse是一個社群媒體工具。他們在安全、隱私和安全設施方面做得很好。但它仍然只是一個社群媒體工具。所以如果你是一個持不同政見者，或者你是一個國家政府的活動有合理擔憂的人，它的設計不是為了讓你能抵禦住這種潛在的敵對意圖。｣

巴德建議：｢不要用Cluehouse這類的工具來進行非常敏感的對話。如果要進行那樣的對話，你需要的是端到端加密的工具，例如Signal。｣

中國聲網公司角色受關注

但斯坦福大學的調查發現，Clubhouse聊天室的元數據（Metadata）曾經被傳送到位於中國大陸的聲網的後台伺服器中；同時，語音文件也被傳輸到由中國公司管理的伺服器，而後通過｢任播｣（Anycast）的數據傳輸方式發布到全世界。

斯坦福大學網路觀測平台說，Clubhouse聊天室中的用戶ID、聊天室ID可能以純文本的格式傳輸，很容易被攔截，監聽者可以輕鬆地查看到誰與誰在聊天，這對於中國大陸的用戶來說是｢令人不安｣的。

香港《南華早報》此前報道說，聲網聯合創建人、亞太和新興市場負責人王驊（Tony Wang）表示，聲網只是Clubhouse數據傳輸過程中的一個中轉。他說：｢我們不儲存終端用戶的數據，我們的客戶一般會給他們的用戶數據加密。｣

他說，聲網只儲存有關網路質量、用來改善演算法的數據，以及與客戶結算相關的數據。

不過，根據聲網2020年6月提供給美國證券交易委員會的文件，聲網公司承認，他們必須遵守中國法律，為涉及國家安全和犯罪調查提供協助和支持。

Clubhouse承諾停止向中國伺服器傳輸數據

資訊安全與隱私問題專家巴德說，基於Clubhouse提供的公開信息，可以相信他們把語音數據存儲在美國。斯坦福大學的研究說，Clubhouse的用戶隱私權協議中指出，用戶的音頻會被｢短暫地｣儲存下來用於可能的信任和安全調查（例如恐怖主義威脅，仇恨言論，出售未成年人個人信息等）。如果沒有收到信任和安全調查報告，Clubhouse聲稱這些音頻數據將被刪除，但未指定｢臨時｣存儲的持續時間到底幾分鐘還是幾年。

Clubhouse應用程式的開發者Alpha Exploration在收到斯坦福大學的研究結論後，承認該程序的｢一小部分流量｣可能發送到了中國的伺服器，其中包括有關用戶ID的｢ping｣（用於網路測試的數據包）。

Clubhouse說，雖然開發者一開始就決定不向中國地區的蘋果應用程式商店開放服務，但仍有中國大陸的用戶繞過這層限制，找到了下載和使用Clubhouse的辦法，這意味著Clubhouse正式被當局封鎖以前，中國用戶參與的對話可以通過中國的伺服器傳輸。

Clubhouse承諾在72小時內進行更多加密和阻攔方式，以防止Clubhouse客戶端將ping傳輸到中國伺服器。

資訊安全公司趨勢科技（Trend Micro）對彭博社表示，他們注意到Clubhouse使用一個過時的聲網軟體庫版本，該版本使用的是一種不夠理想的加密功能。

蘋果應用程式商店的信息顯示，Clubhouse最近的升級日期是2月16日。有關Clubhouse數據加密的改進問題，該程序開發者的安全部門沒有回復美國之音的詢問。

背後中資公司不止一家

除聲網之外，斯坦福大學網路觀測平台主任斯塔莫斯在推特上發文透露，他的研究還發現了Clubhouse可能還使用了一個名為｢GUANGZHOU ENJOY_VC COMMUNICATION TECHNOLOGY CO., LTD.｣的伺服器，這指向了廣州朗橋維視通信技術有限公司。

朗橋維視的官方網站說，該公司創始於2013年，以基於Web RTC通信技術為核心，提供全平台互通的實時音視頻互動服務。公司香港官網還說，向全球提供分散式網際網路數據中心（IDC）服務，以廣州為中國境內核心節點、以香港為境外核心節點，在韓國、東南亞、歐洲和美洲多個國家有IDC和互聯專線。

朗橋維視廣州總部在回復給美國的電子郵件中沒有證實或否認該公司與Clubhouse的合作關係，稱其對客戶相關信息嚴格保密，因此無法置評。

另外，《華盛頓郵報》此前報道，Clubhouse還使用了中國層峰網路（Zenlayer）公司的技術服務。報道說，層峰網路和聲網一樣，都可能被迫向中國政府提供數據。

層峰網路美國公司沒有回復美國之音通過電子郵件發出的詢問。

中國審查員可能已經加入Clubhouse聊天室

斯坦福大學的研究人員說，如果中國政府通過聲網獲取用戶數據，中國大陸的Clubhouse用戶可能會面臨麻煩。但他們也指出，中國政府很可能無需藉助Clubhouse或聲網即可訪問大陸用戶的數據或元數據，擁有潛在獲取數據的途徑也不等於中國政府實際獲取了數據。

在Clubhouse的中文聊天室的談話中，審查是許多人擔心的問題。《紐約時報》報道說，1月8日下午在一個Clubhouse聊天室中，一個自稱在中國某大型社群媒體平台負責審查工作員工告訴聊天室里的參與者，任何人都不要認為自己可以逃避政府的監聽監視。

在推特上，一位名叫｢pandakiller｣的網友說，他目睹了Clubhouse聊天室中已經有中國公安人員正在進行如何使用Clubhouse的演練。

美國前高級情報官員、中國情報事務專家尼古拉斯·埃菲迪米亞德斯（Nicholas Eftimiades）告訴美國之音，雖然有時難以判定中國科技公司與中國政府的實際聯繫，但真正的問題在於，如果有中國政府想要的、有價值的數據，沒有中國公司可以拒絕交出這些數據，這在2017年開始實施的《資訊安全法》就有了明文規定。

｢特別是如果他們在中國經營，他們別無選擇。因此，這裡的實際相互關係在於，這些公司收集什麼數據以及這些數據是否對中共有用。｣ 埃菲迪米亞德斯說：｢我們已經看到這擴展涉及到許多不同類型的數據，從醫療數據，人事信息，財務信息，到人際網路聯繫和個人聯繫等等，這是中國政府希望收集的一批相當廣泛的數據。｣

轉載自美國之音