騰訊科技訊 2月22日消息,在火爆的音頻聊天應用Clubhouse表示正采取措施確保用戶數據不會被惡意黑客或間諜竊取一周后,至少有一名攻擊者證明該平臺的實時音頻可以被竊取。
Clubhouse發言人瑞瑪·巴納西(Reema Bahnasy)周日表示,一個身份不明的用戶周末能夠把Clubhouse的音頻從“多個房間”傳送到他們自己的第三方網站上。雖然Clubhouse表示,將“永久禁止”該特定用戶,并安裝了新的“安全措施”以防止重復事件發生,但研究人員認為,該平臺可能無法做出這樣的承諾。
斯坦福互聯網觀察站(the Stanford Internet Observatory)于2月13日首次公開提出Clubhoused 安全問題。該公司在周日晚表示,只接受邀請的iOS應用的用戶應該假設所有的對話都被記錄下來了。“Clubhouse不能為在世界任何地方舉行的談話提供任何隱私承諾,”斯坦福互聯網觀察站首席信息官、Facebook前安全主管亞歷克斯·斯塔莫斯(Alex Stamos)說。
斯塔莫斯和他的團隊還證實,Clubhouse依賴一家總部位于上海的初創公司聲網(Agora)來處理其大部分后端業務。他說,雖然Clubhouse負責其用戶體驗,如添加新朋友和尋找房間,但該平臺依賴這家中國公司來處理其數據流量和音頻制作。斯塔莫斯稱,對聲網的依賴引發了廣泛的隱私顧慮。
聲網表示,該公司不能對Clubhouse的安全或隱私協議發表評論,并堅稱它不會為其任何客戶“存儲或共享個人身份信息”,Clubhouse只是其中之一。“我們致力于讓我們的產品盡可能安全,”該公司表示。
網絡安全專家在周末注意到,Clubhouse上的音頻和元數據被帶到了另一個網站。位于澳大利亞堪培拉的Internet 2.0首席執行官羅伯特·波特(Robert Potter)說:“一個用戶建立了一種與世界其他地方遠程共享他的登錄信息的方法。真正的問題是,人們認為這些談話從來都是私人對話。”
周末音頻盜竊的罪魁禍首圍繞用于編寫Clubhouse應用的JavaScript工具包構建了他們自己的系統。斯塔莫斯表示,他們實際上操縱了平臺。斯坦福互聯網觀察站未能確定襲擊者的來源或身份。
斯坦福互聯網觀察站的研究員杰克·凱布爾(Jack Cable)表示,雖然Clubhouse拒絕解釋它采取了哪些措施來防止類似的違規行為,但解決方案可能包括防止使用第三方應用在沒有實際進入房間的情況下訪問聊天室音頻,或者簡單地限制用戶可以同時進入的房間數量。
Clubhouse最近剛通過最新一輪融資募集到1億美元資金,對該公司的估值達到10億美元。自今年1月中旬以來,聲網股價累計上漲了150%以上,市值已接近100億美元。(騰訊科技編譯/無忌)
