Clubhouse存風險 專家實測恐遭反向追蹤
近期語音社交平臺「Clubhouse」掀起風潮,引發外界熱烈關注,不過卻也爆出該平臺使用中資音訊技術公司聲網(Agora),恐存有資安風險。專家警告,經實測後發現,Clubhouse並非如聲稱使用P2P傳輸,且語音封包內存ID資訊,恐遭反向追蹤,建議勿在平臺上聊敏感或觸法話題。
Clubhouse是一款僅接受「邀請碼」才能加入的語音社群應用程式,目前僅在App Store上架,Google Play仍為測試階段,甚至官網都還沒設立,就已有數百萬人註冊,並已獲得大量資金投資。
不過近期Clubhouse卻被爆出,程式的即時音頻技術是採用Agora的技術,而非自行研發。但Clubhouse及Agora至今都未承認彼此的合作關係。
專家測試 Clubhouse恐非P2P傳輸
臺灣智慧家庭(TIH)執行長陳慶耀(Pichu Chen)表示,Agora聲稱技術是透過P2P(peer-to-peer,點對點傳輸)這點基本上是有問題的,至少他透過網路封包分析工具Wireshark測出來的結果不是,他也分享自己的實測結果。
在透過「中華電信光世代」進行連線時,所有的語音封包會傳輸到45_255_124_0/24 AOFEI-JP,這個位址並非雲端龍頭產業亞馬遜網路服務公司AWS(Amazon Web Services)的IP,由於AWS目前沒有提供邊界閘道協定會談(BGP session),因此他推測是Agora自己的機房,而mnt-by:MAINT-YINGDA-CN實質應該是由香港及深圳的所屬公司控制。
而當透過「中華電信LTE」連線時,所有的語音封包則會傳輸到 103_59_49_10 NLTD-HK。他表示,這個是實質上是由香港控制的網段,同樣也可能不在AWS上。
陳慶耀表示,沒有偵測到成功的點對點連線,也就是沒有任何封包是直接從使用者手機送往一般使用者的手機,也沒有從任何其他使用者手機收到封包,這個結果證明,聲網稱使用P2P傳輸,不是技術太差,就是其實是假的。
語音封包存ID資訊 恐遭反向追蹤
今年2月8日以前,中國大陸用戶原本無須通過VPN(翻牆)就能使用Clubhouse,在平臺上暢談關於「六四」、臺灣、香港、新疆和西藏等中共敏感話題,達成真正意義上的「與全球用戶交流」,不過該平臺隨即遭到中共網路防火牆封鎖。
陳慶耀表示,原本他只有攔截封包而沒有進行解密,理論上應該只知道有人往Agora的伺服器連線,而不應該知道封包細節,但2月8日發生Clubhouse被封鎖情況後,確認封包內容的細節就變得比較重要。
因此他對網路語音封包進行分析後發現,使用者在收發特定聊天室訊息時的ID為「f0 1a 80 89」(如同編號第 f01a8089 號房間),由於封包本身會帶有來源IP的位置,因此如果使用者在中國境內,他的ID對上來源IP的資訊,有可能會被配對、記錄。
他表示,執法機關可以透過封包的紀錄,知道某個IP在幾點、幾分、幾秒時於哪個房間發言,而且只要有了IP,就有辦法追到申辦網路的人,因此還能反推出發言的人是誰。
「有幾分證據說幾分話,我只有用自己的帳號進行觀察,因此可以確定我如果重覆進入某個房間,會有一個房間ID是固定出現的」,陳慶耀表示,房間ID並不會明確顯示在Clubhouse的使用者介面上,因此他暫時無法下定論,究竟這個房間ID是專屬個人,或者是全平臺共用的房間ID。
他以信用卡刷卡為例,收銀員會看到16位元的信用卡卡號,所以公司可以利用這點追蹤顧客。但Apple Pay的刷卡方式,則是每次都會提供不同的虛擬卡號,因此顧客消費的內容,就不會被追蹤到。
他猜測,Agora對於隱私的設計,應該沒有做到Apple的程度,因此很有可能房間ID是全平臺共用,也就是網警若想知道某個房間的ID,他只需要用自己的帳號進入這個房間就會知道了。但他強調,因為他沒有用第二個帳號測試,所以目前純屬猜測。
聊八卦可以 敏感內容別上Clubhouse
此外,Clubhouse使用的語音封包可能沒有對齊128位元,意謂該軟體可能沒有使用高階加密標準(AES,有分128位元、192位元、256位元三種長度的密鑰)。
陳慶耀表示,即便傳輸資料只有8位元,為了避免內容被暴力破解,通常加密時仍會將至少128位元的區塊放在一起進行塊狀加密,但Clubhouse的傳送封包似乎沒有對齊128位元,代表可能並非使用現代密碼學常見的加密手段,有可能是自行發明的加密方式,或者是根本沒有進行加密,卻對外宣稱有進行加密。
他表示,接下來中國的朋友應該會透過VPN上Clubhouse,根據以往的情報這樣應該可以順利連上,只是你不知道哪些VPN會側錄封包,因此有可能反而更容易被鎖定。
他認為,雖然目前並沒有直接證據,能證明Agora有任何惡意洩露使用者資訊的行為,但有證據證明Agora可能無意產生了隱私上的弱點,這個弱點有可能會使得中間的網路服務提供上,或者是政府在不需要Clubhouse或是Agora同意授權之前,就可以私下搜集使用者行為資訊。
他表示,在取得Clubhouse或Agora內部員工爆料之前,大家主觀上都會相信他們承諾的隱私政策,但他們提交給Apple及Clubhouse的隱私政策中,也清楚表明會搜集使用者的聯絡人、聯絡資料、使用資料、設備ID等,並與使用者本人進行連結。
「因此使用者必須要注意不要任意觸犯當地法律,例如在加州討論大麻使用可能是沒問題的,但是在臺灣分享大麻使用經驗有可能會被檢察官盯上」,陳慶耀表示。
他建議,如果覺得自己的對話內容,是在星巴克被隔壁桌聽到也不會出事的就沒關係,例如聊八卦、聊星座、討論投資經驗、或者是分享音樂創作等等,原則上不會有問題,但如果真不太希望政府知道的資訊,建議還是使用Telegram之類,「有點對點加密功能,而且真的被資安人員稽核過」的聊天軟體。