Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:11 AM
113
115
Hungwen C. Estropia
當按下Clubhouse同意上傳通訊錄的那個鍵後,程式將建議你寄送邀請通知給你的藥頭與治療師。
實驗解說Clubhouse帶來的潛在危機
Clubhouse安裝後,程式會「用一張手指指著YES圖畫框的圖示」,要你開啟手機通訊錄上傳的權限。
程式告訴你如果沒有上傳通訊錄將無法邀請別人,所以你按了,而這些人將以令你驚喜的狀況下出現。
當我授權App上傳我的通訊錄之後,幾個小時內應用程式推薦我邀請我以前的兒科醫生、理髮師、不知道多久前曾經照顧我病危父親的醫護人員加入Clubhouse。
而每次只要我通訊上有人加入註冊,都會推播給我知道誰新加入。
Clubhouse還請我送私訊表示歡迎,並走入對方的世界。
掰噗~
@baipu
說
Sun, Feb 14, 2021 3:11 AM
掰噗秀秀
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:11 AM
而就一般人來說,手機通訊錄中除了正常的聯絡人外,當然還會有一些你永遠都不想接起來的號碼。
有些記者可能還會有些秘密線民等等的,當你上傳號碼的時候,不僅告訴開發商你跟這些人有聯繫,開發商還自動幫你讓這些人知道,還提醒他們跟你有聯繫。假設你有個故意久沒聯絡的前夫或前妻、或是瘋狂粉絲,只要他們手機通訊錄中還有你的電話,當他們上傳通訊錄之後,系統會通知他們讓你跟他們重新聯繫。
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:12 AM
而有些社交平台會幫你建立「非使用者影子檔案」。
意思就是,今天A上傳了通訊錄中有C,而B也上傳了通訊錄中有C,雖然C這個人完全沒有利用平台,伺服器裡面還是會建立一個C的影子檔案記載著A和B都跟C這個人有連結。
我對這個有問題想詢問Clubhouse,但至今都沒獲得答案。在我們嘗試之後顯示的證據表示這個疑慮在Clubhouse是有可能存在的。
有至少2個點顯示Clubhouse在聯絡人資料的處理上有點跟之前的社交平台不同。
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:12 AM
第一點是,如果你的通訊錄中有人新加入,而你會收到推播通知,點那個訊息後你會被送到私人房間,那個房間除了你和你的那位新加入的朋友外,還有些同樣也擁有那位新人通訊錄的人也會在同個房間內(因為他們也收到通知)。
他的那些朋友我完全沒見過,不過這個隨機認識朋友的朋友做法很奇特。
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:12 AM
第二個點是,當你在程式內通訊邀請名單介面那裡,要點選邀請時,可以看到你通訊錄中那些還沒加入的朋友,他們已經有多少朋友已加入Clubhouse。
影子檔案
而且還是以朋友數由多排列到少。就一般而言這功能對社交軟體來講沒什麼特別的,妙的是你手機通訊錄中那些人,並不一定經過對方的同意才被你加入通訊錄,但經由邀請的那個介面,你不需要告知對方也能知道他在Clubhouse已有了多少朋友在裡面。
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:13 AM
而推薦名單最上方的不見得是你最想邀請的人,通常是一些技術、行銷人員或是某些有代表性的團體,因為某些原因還沒加入。
像我推薦名單的前兩名都是餐廳,其中一個在兩年前就關閉了。這個程式還建議我該邀請好久以前曾經開過我過動處方籤的那位精神科醫師,我從邀請那裡還能知道他有62個朋友已經在Clubhouse呢。
我不是第一個發現這個奇怪問題的人,第一個發現的是紐約The New School傳播設計學院助理教授Blake Eskin。
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:13 AM
「我前3名推薦名單中,2位是我之前的醫師。有誰會在軟體還正在收集研究使用資訊時,邀請他們的心理醫師加入Clubhouse?」
我們在Twitter上搜尋都能找到一堆例子。
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:13 AM
「加入Clubhouse後,系統告訴我通訊錄上每個人他們擁有多少朋友已經在用這個系統。所以我現在知道有多少人跟我用同個藥頭、同個治療師、同個律師或同個清潔工了。」
「我試著理解怎麼邀請的時候,系統顯示我的通訊錄中的朋友,他們的朋友已經有多少人加入Clubhouse。然後我發現有個大麻商有141個朋友已經在Clubhouse。」
「我那個已上天堂的姨婆有69個已加入Clubhouse的朋友?」
「老兄,我那個10年的電話卡,有149個已經加入Clubhouse的朋友。」
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:13 AM
因為不知道Clubhouse對這些通訊名單的資料處理原則,所以很難預測會出什麼差錯。
比較有可能的有些特殊狀況Clubhouse可能會被要求上繳一些伺服器上的政治敏感名單等等。
或是簡單地舉例,試想那些藥頭知道有個他從沒下載過檔案的軟體,其伺服器正在做檔案紀錄有關多少人曾跟他接觸,是有多驚訝。
就以上傳通訊錄名單這點來看,所以,在你按下YES同意上傳通訊錄名單之前,大家是不是應該三思而後行呢?
只有藍字部份不是翻譯
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 3:13 AM
Clubhouse Is Suggesting Users Invite Their Drug Deal...
路邊攤宅老闆
@Mr_DD
Sun, Feb 14, 2021 4:27 AM
社群軟體太過於干涉私人生活了
批依細菌人
@triop
Sun, Feb 14, 2021 5:01 AM
難道其他app都沒有這個問題嗎@@?
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 1:32 PM
網路攻防戰 - 主題:最新研究報告指出 Clubhouse 以明文形式傳送使用者及聊天室的ID,而位於中...
主題:最新研究報告指出 Clubhouse 以明文形式傳送使用者及聊天室的ID,而位於中國的 Agora 擁有加密金鑰可以解開加密的聲音檔案。
寫在前面:
該研究報告證明了許多在網路上的質疑,Clubhouse 官方也承認並將盡快改善。
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 1:32 PM
摘要:
斯坦福網路觀察站(SIO)發表報告指出,已經確認中國聲網公司(Agora Inc)替 Clubhouse 提供了後台基礎架構,因此中國聲網公司可以獲取用戶的原始音頻資料,因此也存在把它交給中國政府的潛在風險。
研究報告與技術資料:
Clubhouse in China: Is the data safe?
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 1:32 PM
Sun, Feb 14, 2021 1:33 PM
這份報告還指出,研究團隊觀察到聊天室的數據被中轉到一些位於中國的伺服器上,而聲音數據則被中轉到由中國實體所管理的伺服器上。(如圖片所示)
根據 Agora 的開發文件,其語音開發使用 Agora RTC SDK 套件,SIO觀察到其使用 UDP 將封包發送到名為"
http://qos-america.agoralab.co/...
"的伺服器。
資料來源:
https://web.archive.org/...
Domo☆墨砂🦮
@SOSOBI
Sun, Feb 14, 2021 1:33 PM
根據 Agora 的開發文件,Agora 可以取得加密密鑰。儘管文件並未指出使用哪種加密方式,但它很可能是採用基於 UDP 的對稱加密。也就是 Clubhouse 並沒有使用點對點加密技術(E2EE)。
資料來源:
Channel Encryption
Clubhouse 官方回應:
官方證實確有其事,在接下來的72小時內,將會加強數據保護措施,包含使用者及聊天室的ID與資料可能傳送到中國服務器的問題。
引用來源:
回应安全质疑 Clubhouse称将加强数据保护 | DW | 13.02.2021
相關報導:
Clubhouse says reviewing data protection practices a...
載入新的回覆
當按下Clubhouse同意上傳通訊錄的那個鍵後,程式將建議你寄送邀請通知給你的藥頭與治療師。
實驗解說Clubhouse帶來的潛在危機
Clubhouse安裝後,程式會「用一張手指指著YES圖畫框的圖示」,要你開啟手機通訊錄上傳的權限。
程式告訴你如果沒有上傳通訊錄將無法邀請別人,所以你按了,而這些人將以令你驚喜的狀況下出現。
當我授權App上傳我的通訊錄之後,幾個小時內應用程式推薦我邀請我以前的兒科醫生、理髮師、不知道多久前曾經照顧我病危父親的醫護人員加入Clubhouse。
而每次只要我通訊上有人加入註冊,都會推播給我知道誰新加入。
Clubhouse還請我送私訊表示歡迎,並走入對方的世界。
有些記者可能還會有些秘密線民等等的,當你上傳號碼的時候,不僅告訴開發商你跟這些人有聯繫,開發商還自動幫你讓這些人知道,還提醒他們跟你有聯繫。假設你有個故意久沒聯絡的前夫或前妻、或是瘋狂粉絲,只要他們手機通訊錄中還有你的電話,當他們上傳通訊錄之後,系統會通知他們讓你跟他們重新聯繫。
意思就是,今天A上傳了通訊錄中有C,而B也上傳了通訊錄中有C,雖然C這個人完全沒有利用平台,伺服器裡面還是會建立一個C的影子檔案記載著A和B都跟C這個人有連結。
我對這個有問題想詢問Clubhouse,但至今都沒獲得答案。在我們嘗試之後顯示的證據表示這個疑慮在Clubhouse是有可能存在的。
有至少2個點顯示Clubhouse在聯絡人資料的處理上有點跟之前的社交平台不同。
他的那些朋友我完全沒見過,不過這個隨機認識朋友的朋友做法很奇特。
影子檔案 而且還是以朋友數由多排列到少。就一般而言這功能對社交軟體來講沒什麼特別的,妙的是你手機通訊錄中那些人,並不一定經過對方的同意才被你加入通訊錄,但經由邀請的那個介面,你不需要告知對方也能知道他在Clubhouse已有了多少朋友在裡面。
像我推薦名單的前兩名都是餐廳,其中一個在兩年前就關閉了。這個程式還建議我該邀請好久以前曾經開過我過動處方籤的那位精神科醫師,我從邀請那裡還能知道他有62個朋友已經在Clubhouse呢。
我不是第一個發現這個奇怪問題的人,第一個發現的是紐約The New School傳播設計學院助理教授Blake Eskin。
我們在Twitter上搜尋都能找到一堆例子。
「我試著理解怎麼邀請的時候,系統顯示我的通訊錄中的朋友,他們的朋友已經有多少人加入Clubhouse。然後我發現有個大麻商有141個朋友已經在Clubhouse。」
「我那個已上天堂的姨婆有69個已加入Clubhouse的朋友?」
「老兄,我那個10年的電話卡,有149個已經加入Clubhouse的朋友。」
比較有可能的有些特殊狀況Clubhouse可能會被要求上繳一些伺服器上的政治敏感名單等等。
或是簡單地舉例,試想那些藥頭知道有個他從沒下載過檔案的軟體,其伺服器正在做檔案紀錄有關多少人曾跟他接觸,是有多驚訝。
就以上傳通訊錄名單這點來看,所以,在你按下YES同意上傳通訊錄名單之前,大家是不是應該三思而後行呢?
只有藍字部份不是翻譯
主題:最新研究報告指出 Clubhouse 以明文形式傳送使用者及聊天室的ID,而位於中國的 Agora 擁有加密金鑰可以解開加密的聲音檔案。
寫在前面:
該研究報告證明了許多在網路上的質疑,Clubhouse 官方也承認並將盡快改善。
斯坦福網路觀察站(SIO)發表報告指出,已經確認中國聲網公司(Agora Inc)替 Clubhouse 提供了後台基礎架構,因此中國聲網公司可以獲取用戶的原始音頻資料,因此也存在把它交給中國政府的潛在風險。
研究報告與技術資料:
根據 Agora 的開發文件,其語音開發使用 Agora RTC SDK 套件,SIO觀察到其使用 UDP 將封包發送到名為" http://qos-america.agoralab.co/... "的伺服器。
資料來源:
https://web.archive.org/...
資料來源:
Channel Encryption
Clubhouse 官方回應:
官方證實確有其事,在接下來的72小時內,將會加強數據保護措施,包含使用者及聊天室的ID與資料可能傳送到中國服務器的問題。
引用來源:
相關報導: