“凡尔赛”式聊天室被窃听——ClubHouse数据泄露事件丨大东话安全
2021/4/10 8:00:00 中科院之声

     一、小白剧场

     小白：东哥，你最近听说过有一种邀请制的语音聊天室吗？

     大东：当然，前段时间有一款因马斯克爆火的语音聊天软件——ClubHouse。

     小白：对对，就是它，之前在朋友圈看到好多人都在晒这款软件的邀请码，简直是一场顶级凡尔赛盛会!

     大东：那小白，你体验过这款APP了么？

     小白：唉!没有，因为我没有获得邀请码。可是就这么一款语音聊天软件有什么特别之处吗？至于被捧得这么火热？

     大东：要说他有什么技术上的创新，还真没有。它甚至连一些基本的数据存储技术都与历来的各类聊天室类似，要说有什么吸引之处，那就只能是它的圆桌讨论场景了吧。

     小白：圆桌讨论形式？听起来蛮有趣的，那这种聊天形式是不是适应各大企业的商讨沙龙模式啊，东哥？

     大东：没错，ClubHouse在国内，首先就在在金融互联网圈内激发了亢奋的状况，各个团队争先使用。

     小白：这么优秀的软件，没有体验过实在是太可惜了!

     大东：没有必要遗憾，小白，你甚至应当庆幸还没有使用过这款软件!

     小白：为什么这么说呢，东哥？难道这款软件出现了什么问题吗？

     大东：当然，而且还不是小问题呢!

     小白：什么问题呢？东哥，快别卖关子了!

     大东：就在前不久，ClubHouse聊天室被攻击者窃听，大量的用户信息被窃取。

     小白：哇，前一秒我还在可惜呢，真是吓出我一身冷汗。东哥，快给我讲讲这件事情的来龙去脉吧。

    

     ClubHouse聊天室(图片来自网络)

     二、话说事件

     大东：首先，我来介绍下本次ClubHouse用户隐私被窃取的两种主要形式。

     小白：是哪两种呢，东哥？

     大东：第一种是攻击者直接窃听了ClubHouse聊天室；第二种是攻击者窃取了用户数据，大量的用户数据被拖库。

     小白：窃听聊天室我明白，那什么是拖库呢，东哥？

     大东：看来你还需要继续学习啊，小白，网络安全的基础知识还没积累到位。

     小白：嘿嘿，我会注意积累的，东哥，先说说这次的拖库吧。

     大东：所谓用户数据被拖库，直白来说便是攻击者隐藏自己的身份，暗地里将语音聊天流数据传输到了自己的网站。

     小白：原理是这样，用户数据就这么被攻击者收入囊中了!那他具体是怎么操作的，利用了这款软件的什么漏洞呢？

     大东：倒不是攻击者利用了什么漏洞才导致聊天室被窃听，这一切的原因可以说大部分都是ClubHouse对用户隐私的保障工作做得不够充分。

     小白：为什么这么说呢，东哥？

     大东：据安全人士透露，偷窃ClubHouse音频的攻击者围绕用于编译Clubhouse应用程序的JavaScript工具包开发了自己的系统。

     小白：然后攻击者便利用这套系统开展了对ClubHouse的窃取工作了吗？

     大东：没错。

     小白：那ClubHouse没有检测到攻击方的身份吗？

     大东：SIO(斯坦福互联网观察站Stanford Internet Observatory)表示对ClubHouse进行了安全评估，但并不确定攻击者的来历或身份。小白：研究员怎么说的呢？

     大东：SIO的研究员Jack Cable说，尽管Clubhouse拒绝透露采取了何种措施来防止类似的违规行为，但我们能够预测他们的解决方案。

     小白：哦？那可能是什么解决方案呢？

     大东：方案可能包括阻止使用第三方应用程序访问聊天室音频，或者限制用户同时进入的房间数量。

     小白：嗯嗯，仔细想一想这两种办法确实能够在一定程度上阻止攻击方的窃取行为。那这种方法有效吗，东哥？

     大东：Clubhouse发言人Reema Bahnasy说，他们曾检测到一个身份不明的用户，他曾将“多个房间”的Clubhouse音频流传输到自己的第三方网站中。

     小白：那他们怎么处理这个用户了呢？

     大东：该公司表示已“永久封禁”该用户并采取了新的“防护措施”以防止重复发生。

     小白：这种话感觉好虚啊，他们这样说代表着，这种窃听已经被遏止了吗？

     大东：显然没有，而且根据SIO研究员Jack Cable的说法，Clubhouse拒绝透露未来将采取什么额外措施来避免此类违规行为。

     小白：那用户也不知道自己还会被窃听，自己的信息还会被泄露啊!

     大东：没错，真正的问题是，用户还认为这些对话永远是私密的。

     三、大话始末

     小白：那我们国内的用户有没有受到什么影响呢，东哥？

     大东：由于ClubHouse使用了中国公司的实时语音技术服务，由此也引发了外媒和安全人员的焦虑。

     小白：什么？与中国公司也有合作，是哪一家呢？

     大东：是中国的初创公司Agora(声网)。

    

     ClubHouse与Agora(图片来自网络)

     小白：那Agora公司对于这件事保持了什么态度呢？

     大东：Agora表示，它无法对Clubhouse的安全或隐私协议发表评论，并坚称本公司不会为任何客户“存储或共享个人身份信息”。而且在Agora官网首页的显要位置看到Agora的“安全与合规”声明。

     小白：声明写了什么呢？

     大东：“兼具数据安全保障和个人隐私保护的RTE可靠服务，服务每一位开发者，尊重每一位终端用户”。

     小白：还是中国公司对于用户隐私处理严谨。那东哥，这个事件最后发展如何了？

     大东：在2021年2月初，中国的ClubHouse用户表示，由于敏感话题讨论激增，他们已无法访问该应用程序，该程序已经下架。

     小白：那是不是再也不能使用ClubHouse了？

     大东：合法的情况下是的，但是部分“强力”用户仍然可以使用虚拟专用网络来访问该应用程序。

     小白：这么危险的信息泄露，还是不要使用为好，毕竟市场上还有那么多类型的聊天软件。

     大东：没错，当防火墙、境外手机卡都无法阻止人们对ClubHouse的狂热追捧时，也许通过这次严重的泄露事件，能够给国人降降温，不要盲目的追捧。

     四、小白内心说

     小白：东哥说得真好，信息泄露太可怕了，那平时我们在使用一些在线的聊天、音频、视频软件时应注意些什么呢？

     大东：当然，任何软件没有绝对的安全，我们只需要审时度势，不要盲目追捧一些新问世的软件，也不要轻易在网络上发布个人信息。

     小白：嗯嗯，确实。但ClubHouse就这么被下架了，着实有些可惜。

     大东：在ClubHouse从国内市场下架时，一些用户对短暂的言论自由窗口的终结表示哀悼，而另一些人则对用户隐私和有关部门窃听讨论的可能性表示担忧。

     小白：他们都说什么啦？

     大东：他们大多在提醒各位用户，不要用自己的真实照片作为个人资料照片，也不要把你的俱乐部账户链接到你某社交平台上。

    

     个人信息泄露(图片来自网络)

     小白：这些确实是我们平时上网容易忽略的一点。

     大东：往往就是这些细节，就会酿成个人信息被窃取的后果，小白以后要多加小心哦。

     小白：收到了，东哥!

     参考资料：

     1. 聊天音频泄露至第三方，Clubhouse安全性存疑https://news.dayoo.com/finance/202102/22/139999_53802450.htm

     2. 被黑客“脱裤”，ClubHouse面临一场隐私劫难

     https://www.aqniu.com/threat-alert/72955.html

     3. 聊天音频泄露至第三方，Clubhouse软件可能被窃听

     https://baijiahao.baidu.com/s?id=1692383232721337295&wfr=spider&for=pc

     来源：中国科学院信息工程研究所

    

     温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

    

    

    源网页  http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药