会所的安全和隐私落后于爆炸式增长
最近几个月,基于音频的社交媒体应用程序Clubhouse已成为硅谷最新的破坏性宠儿。这种格式让人感觉很熟悉:一部分是Twitter,一部分是Facebook Live,另一部分是电话交谈。但是随着Clubhouse的不断扩展,其安全和隐私方面的缺陷受到了越来越多的审查-并使该公司争先恐后地纠正问题和管理期望。
Clubhouse仍处于测试阶段,仅在iOS上可用,它为用户提供了“房间”,这些房间实质上是群组音频聊天。也可以将其设置为公共演讲或小组讨论,其中一些用户是“发言人”,其余用户是听众成员。据报道,该平台拥有超过1000万用户,价值10亿美元。自去年以来,它一直是硅谷精英和名人的受邀避风港,包括本月初出现的埃隆·马斯克(Elon Musk)。但是该公司在具体的安全性问题和关于用户应期望多少隐私的短暂问题上都感到挣扎。
安全研究人员罗伯特·波特(Robert Potter)说:“有了规模较小,更新的社交媒体平台,我们应该对我们的数据保持警惕,尤其是当数据经历巨大的增长时,它会测试许多控件。” “在平台上只有100,000人的情况下,您可能会遇到的麻烦–您将这些数字增加了十倍,暴露水平上升,威胁上升,探测平台的人数上升。”
最近有关Clubhouse的安全问题从漏洞到对应用程序的基础结构的质疑,无所不包。一周多前,斯坦福互联网天文台的研究人员发现该应用正在传播用户时,便对该平台进行了关注。会所标识符和聊天室标识号未加密,这意味着第三方可能已经跟踪了您在应用程序中的操作。研究人员进一步指出,Clubhouse的某些基础设施是由一家位于上海的公司运营的,并且看来该应用程序的数据至少在某些时候是在中国传播的,这可能会使用户受到针对性的攻击。甚至广泛的中国政府监视。然后在周日,彭博社证实,一个第三方网站正在抓取并汇编来自Clubhouse讨论的音频。周一早些时候,有关Clubhouse的讨论被取消,用于一个非附属的Android应用程序,使该操作系统上的用户可以实时收听,因此得到了进一步的启示。
研究不同的Clubhouse数据抓取项目的研究人员之一波特表示,这些应用程序和网站似乎没有恶意;他们只是想将Clubhouse内容提供给更多人。但是开发人员之所以只能这样做,是因为Clubhouse没有阻止这种情况的反抓取机制。俱乐部会所(Clubhouse)并没有限制单个帐户一次可以流式传输多少个房间,因此任何人都可以创建一个应用程序编程接口来同时流式传输每个公共频道。
像Facebook这样的更成熟的社交网络拥有更完善的机制来锁定其数据,以防止违反用户隐私并保护其作为资产持有的数据。但是,即使它们仍然可能会受到创造性刮削技术的潜在影响。
Clubhouse还因其积极的用户群而受到审查。联系人列表。该应用程序强烈鼓励所有用户共享其地址簿数据,以便Clubhouse可以帮助您与认识的人建立联系,他们已经在平台上。由于Clubhouse仍然仅受邀请,因此还需要您共享联系人列表以邀请其他人加入该平台,这有助于形成排他性和隐私感。但是,许多用户指出,当您去邀请其他人时,该应用程序还会根据联系人中哪些电话号码也属于俱乐部俱乐部用户数量最多的联系人来提出建议。换句话说,如果您和您的本地朋友都使用相同的花店,医生或毒贩,那么他们很可能会出现在您要邀请的推荐对象列表中。
截至发稿时,Clubhouse并未回应WIRED的要求就其最近的安全问题发表评论。在向斯坦福大学互联网天文台研究人员发表的一份声明中,Clubhouse详细说明了为增强安全性而计划进行的具体更改,包括切断对中国服务器的ping并加强其加密。该公司还表示,将与第三方数据安全公司合作,以帮助他们了解这些变化。针对正在流传Clubhouse讨论的未经授权的网站,该公司告诉媒体,该网站已永久禁止用户访问它,并会添加其他“保障措施”。以防止情况再次发生。
尽管Clubhouse似乎正在认真对待研究人员的反馈意见,但该公司尚未具体说明已实施或计划添加的所有安全改进。此外,鉴于该应用似乎并未向其用户提供端到端加密,研究人员说,仍然有一种感觉,即Clubhouse尚未充分考虑其安全状况。甚至在您解决该应用程序提出的一些基本隐私问题之前。
启动新的Clubhouse会议室时,可以从以下三种设置中进行选择:平台上的任何用户都可以访问“开放”会议室,“社交”会议室仅允许您关注的人,而“封闭”会议室则限制了被邀请者的访问权限。每个人都有其自己的隐式隐私级别,Clubhouse可以将其更明确地体现出来。
“我认为,对于公共房间,Clubhouse应该给用户以公开意味着对所有用户公开的期望,因为任何人都可以加入并记录,做笔记等。”斯坦福大学互联网天文台首席技术官戴维·泰尔(David Thiel)说。 "对于私人房间,他们可以传达出与任何通信机制一样的授权成员可以记录内容和身份的信息,因此请确保您既建立了期望并信任了参与者。
像任何著名的社交网络一样,Clubhouse也在努力处理平台上的滥用行为。该应用程序的服务条款自11月起禁止仇恨言论,种族主义和骚扰,该平台还提供了一些适度的功能,例如能够阻止用户或将房间标记为可能滥用。但是Clubhouse的最大功能之一也是反滥用的问题:人们可以使用该平台而不必承担将其贡献自动保存为帖子的责任。这可能会鼓舞一些用户做出侮辱性或贬损性的言论,以为他们不会被记录下来并且不会面临后果。
斯坦福·蒂尔(Stanford Thiel)说,俱乐部会所目前暂时存储讨论记录,以备不时之需。但是,如果公司要实施端到端加密以提高安全性,那么要忍受滥用甚至会更加困难,因为它无法如此轻松地制作这些录音。每个社交媒体平台都面临着这种压力的某种形式,但是安全专家一致认为,在相关时,增加端到端加密的好处值得开发更具细微差别和创造性的反滥用解决方案。
甚至端到端加密也不能消除任何Clubhouse用户可能在外部记录他们所参与的对话的可能性。Clubhouse不能轻松解决这一问题。但是,无论对话感觉多么友好和不经意,它至少可以相应地设定期望。 " Clubhouse应该清楚它将对您的隐私有何贡献,"波特说,“因此您可以相应地设置要讨论的内容。”