Clubhouse、中国によるスパイの脆弱性を修正するためにセキュリティを強化
研究者は最近人気を集めている音声のみのソーシャルメディアプラットフォームであるClubhouseの内部に、ユーザーデータにアクセスする可能性がある脆弱性を発見しました。
米国のスタンフォードインターネットオブザーバトリー(SIO)は、Clubhouseソーシャルネットワークのデータ保護実践を調査し、中国本土のユーザーに潜在的なリスクを特定しました。専門家は、中国当局がこの脆弱性を利用してユーザーデータにアクセスする可能性があると疑っています。
Clubhouseは2020年4月にリリースされたアプリです。現在はiOSユーザーのみが利用可能です。Clubhouseは音声ソーシャルネットワークであり、ユーザーはチャットルームに参加して他のチャットで話されていることを聞くことができますが、招待によってのみClubhouseに参加できます。
2021年1月の時点で、Clubhouseには200万を超えるアクティブユーザーがいました。ユーザーはイーロン・マスクがそのスタートアップNuralinkについて話すためのチャットルームに参加した後、新しいアプリに積極的に注目し始めました。
Clubhouseの音声会話の内容はどこにも保存されないため、一部の国で他のプラットフォームで禁止されている敏感な話題についての検閲されていない会話のためのアプリになりました。その結果、台湾と香港についての議論が原因で、Clubhouseは中国全体で禁止されました。
SIOによると、上海に拠点を置くスタートアップ企業Agora Inc.がClubhouseのバックエンドインフラを提供しています。同時に、ユーザーIDおよびチャットIDはインターネットを介してプレーンテキスト形式で送信され、これにより侵入者が容易に傍受できるようになります。
"インターネットトラフィックの観察者は共有チャットルームのIDを簡単に一致させ、誰が誰と話しているかを見ることができます。本土中国のユーザーにとって、これは問題です," SIOは言います。
研究者によると、Agoraはユーザーの生音声ファイルにアクセスできる可能性があります。サーバーが中国に保存されている場合、中国当局がデータにアクセスする可能性があり、これが潜在的な危険を引き起こします。国のサイバーセキュリティ法により、会社は国の安全を脅かす音声メッセージを検出するために政府を支援する義務があります。
しかし、AgoraはSIOに対し、ユーザーの音声およびメタデータは「ネットワーク品質の監視および顧客への請求」にのみ使用されるため、北京に役立つユーザー情報は含まれていないと保証しました。同社はまた、音声が米国に保存されているため、中国政府がそれにアクセスすることはほとんどないと述べました。
その一方で、Clubhouseは72時間以内に「追加の暗号化」を追加し、中国のサーバーにユーザーの音声およびPINGが送信されないようにセキュリティを向上させると約束しました。さらに、Clubhouseは外部のセキュリティ会社を雇い、更新を検証およびレビューする予定です。