OBT商业科技观察

《连线》:爆火音频APP Clubhouse安全和隐私问题引担忧

Lily Hay Newman是WIRED的资深作家,专注于信息安全、数字隐私和黑客攻击。她曾在《板岩》杂志担任技术记者,是《未来时态》的工作人员,该杂志是板岩、新美国基金会和亚利桑那州立大学的出版物和项目。


        在一系列事件之后,该平台承诺会做得更好。但最困难的部分可能是管理用户期望。

最近几个月,基于音频的社交媒体应用Clubhouse已经成为硅谷最新的颠覆性宠儿。这种形式让人感觉很熟悉:一部分是Twitter,一部分是Facebook直播,一部分是电话聊天。但随着应用的扩张,其安全和隐私方面的缺陷受到了越来越多的关注,这使得该公司急于纠正问题和管理预期。

Clubhouse仍处于测试阶段,仅在iOS上提供,它为用户提供的“聊天室”基本上是群组音频聊天。它们也可以设置为公共演讲或小组讨论,其中一些用户是“演讲者”,其余的是听众。据报道,该平台拥有1000多万用户,价值10亿美元。从去年开始,这里就成了硅谷精英和名人的天堂,包括本月早些时候伊隆•马斯克(elonmusk)的亮相。但该公司一直在为具体的安全问题和更多关于用户应该期望多少隐私的短暂问题而挣扎。

安全研究人员罗伯特波特说:“在规模更小、更新更新的社交媒体平台上,我们应该对数据保持警惕,特别是当数据经历巨大增长时,它会测试很多控制措施。如果你的平台上只有10万人,你可能会侥幸逃脱惩罚。如果你将这些数字增加10倍,那么曝光率就会上升,威胁就会上升,探测你平台的人数就会上升。”

对于《连线》记者就其最近的安全问题发表评论的请求,该俱乐部没有做出回应。在一份对斯坦福互联网观察站研究人员的声明中,Clubhouse详细说明了它计划为加强安全性所做的具体改变,包括切断对中国服务器的ping和加强加密。该公司还表示,将与第三方数据安全公司合作,帮助洞察这些变化。针对这家未经授权的网站正在对会馆讨论进行重新直播,该公司对媒体表示,已经永久禁止其背后的用户,并将增加额外的“保障措施”,以防止这种情况再次发生。

尽管Clubhouse似乎很重视研究人员的反馈,但该公司并没有具体说明它已经实施或计划增加的所有安全改进措施。此外,鉴于该应用程序似乎没有向用户提供端到端的加密,研究人员表示,在安全问题发生之前,仍然觉得Clubhouse没有充分考虑其安全态势。

当你开始一个新的会所房间时,你可以从三个设置中选择:“开放”的房间可以被平台上的任何用户访问,“社交”房间只允许你邀请的人访问,“封闭”的房间限制被邀请者访问。每个俱乐部都有自己的隐式隐私级别,俱乐部可以更明确地表达。

“我认为对于公共房间,Clubhouse应该给用户一个期望,即公共意味着对所有用户都是公共的,因为任何人都可以加入并记录、做笔记等。”斯坦福互联网天文台首席技术官大卫·蒂尔(David Thiel)说,对于私人房间,他们可以像对待任何人一样传达这一点。通过沟通机制,授权成员可以记录内容和身份,因此请确保双方都建立期望并信任参与者。”

和任何著名的社交网络一样,Clubhouse也在努力应对平台上的虐待行为。该应用的服务条款从去年11月起禁止仇恨言论、种族歧视和骚扰,该平台还提供了一些温和的功能,比如能够阻止用户或将房间标记为潜在的虐待行为。不过,Clubhouse最大的特点之一也是反滥用的问题:人们可以使用该平台,而无需承担“其贡献将自动保存为帖子”的责任。这可能会鼓励一些用户发表辱骂或贬损的言论,认为他们不会被记录,也不会面临后果。

斯坦福大学的泰尔说,会所目前暂时储存讨论录音,以备虐待索赔时审查。不过,如果该公司为了安全而实施端到端加密,那么要想控制滥用行为就更加困难了,因为它无法如此轻松地制作这些录音。每个社交媒体平台都面临着这种紧张关系的某种版本,但安全专家一致认为,如果相关的话,添加端到端加密的好处值得开发更细致和创造性的反滥用解决方案。

即使是端到端的加密,也不能消除任何俱乐部用户在外部录制他们的对话的可能性。这不是俱乐部能轻易解决的问题。但它至少可以相应地设定期望值,不管谈话感觉多么友好和非正式。

“俱乐部应该清楚地知道它会给你的隐私带来什么,”波特说,“这样你就可以相应地设定你要谈论的内容。”

最近对Clubhouse的安全担忧,从漏洞到对应用程序底层基础设施的质疑,无所不包。一个多星期前,斯坦福大学互联网观察站的研究人员发现,该应用程序未加密地传输用户的俱乐部标识和聊天室身份号码,这意味着第三方可能已经在该应用程序中跟踪到了你的行为,从而将聚光灯对准了该平台。研究人员进一步指出,Clubhouse的一些基础设施是由一家上海公司运营的,而且该应用程序的数据似乎至少有一段时间在中国传播,可能会让用户受到有针对性的甚至是广泛的中国政府监控。随后,彭博社证实,一家第三方网站正在搜集和编辑俱乐部会所讨论的音频。周一早些时候,更多的消息被披露,俱乐部会所正在讨论一个没有关联的Android应用程序,允许该操作系统上的用户实时收听。

波特是研究不同的俱乐部数据收集项目的研究人员之一,他解释说,这些应用程序和网站看起来并不是恶意的;他们只是想让更多的人可以使用俱乐部的内容。但开发商之所以能够这么做,是因为俱乐部会所没有能够阻止这种情况的防爬机制。例如,Clubhouse没有限制一个帐户一次可以从多少个房间中传输数据,因此任何人都可以创建一个应用程序编程接口来同时传输每个公共频道。

像Facebook这样更成熟的社交网络有更成熟的机制来锁定他们的数据,既可以防止侵犯用户隐私,也可以保护他们作为资产持有的数据。但即使是他们也有可能因为创造性的爬虫技术而暴露。

Clubhouse也因为积极收集用户的联系名单而受到审查。这款应用强烈鼓励所有用户共享他们的通讯录数据,这样Clubhouse就可以帮助你与已经在平台上的熟人建立联系。它还要求您共享您的联系人列表,以便邀请其他人加入该平台,因为Clubhouse仍然是“仅邀请”,这有助于提高排他性和隐私感。不过,众多用户指出,当你去邀请别人时,这款应用还会根据你联系人中的电话号码也在最多的会所用户的联系人中给出建议。换句话说,如果你和你当地的朋友都使用同一个花店、医生或毒贩,他们很可能会出现在你的推荐邀请名单上。

相关推荐

    无相关信息