腾讯科技讯 2月22日消息,在火爆的音频聊天应用Clubhouse表示正采取措施确保用户数据不会被恶意黑客或间谍窃取一周后,至少有一名攻击者证明该平台的实时音频可以被窃取。
Clubhouse发言人瑞玛·巴纳西(Reema Bahnasy)周日表示,一个身份不明的用户周末能够把Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。虽然Clubhouse表示,将“永久禁止”该特定用户,并安装了新的“安全措施”以防止重复事件发生,但研究人员认为,该平台可能无法做出这样的承诺。
斯坦福互联网观察站(the Stanford Internet Observatory)于2月13日首次公开提出Clubhoused 安全问题。该公司在周日晚表示,只接受邀请的iOS应用的用户应该假设所有的对话都被记录下来了。“Clubhouse不能为在世界任何地方举行的谈话提供任何隐私承诺,”斯坦福互联网观察站首席信息官、Facebook前安全主管亚历克斯·斯塔莫斯(Alex Stamos)说。
斯塔莫斯和他的团队还证实,Clubhouse依赖一家总部位于上海的初创公司声网(Agora)来处理其大部分后端业务。他说,虽然Clubhouse负责其用户体验,如添加新朋友和寻找房间,但该平台依赖这家中国公司来处理其数据流量和音频制作。斯塔莫斯称,对声网的依赖引发了广泛的隐私顾虑。
声网表示,该公司不能对Clubhouse的安全或隐私协议发表评论,并坚称它不会为其任何客户“存储或共享个人身份信息”,Clubhouse只是其中之一。“我们致力于让我们的产品尽可能安全,”该公司表示。
网络安全专家在周末注意到,Clubhouse上的音频和元数据被带到了另一个网站。位于澳大利亚堪培拉的Internet 2.0首席执行官罗伯特·波特(Robert Potter)说:“一个用户建立了一种与世界其他地方远程共享他的登录信息的方法。真正的问题是,人们认为这些谈话从来都是私人对话。”
周末音频盗窃的罪魁祸首围绕用于编写Clubhouse应用的JavaScript工具包构建了他们自己的系统。斯塔莫斯表示,他们实际上操纵了平台。斯坦福互联网观察站未能确定袭击者的来源或身份。
斯坦福互联网观察站的研究员杰克·凯布尔(Jack Cable)表示,虽然Clubhouse拒绝解释它采取了哪些措施来防止类似的违规行为,但解决方案可能包括防止使用第三方应用在没有实际进入房间的情况下访问聊天室音频,或者简单地限制用户可以同时进入的房间数量。
Clubhouse最近刚通过最新一轮融资募集到1亿美元资金,对该公司的估值达到10亿美元。自今年1月中旬以来,声网股价累计上涨了150%以上,市值已接近100亿美元。(腾讯科技编译/无忌)
