文章提供：图文资通组
文章来源：https://www.bnext.com.tw/article/61445/china-clubhouse
发佈日期：2021.02.22 消息来源：数位时代 #资讯安全#隐私与资安

语音社群软体Clubhouse虽遭中国封锁，仍有不少中国网友翻墙发表意见。但美国专家警告，Clubhouse使用的是中国制伺服器，传输内容有被截取之虞，因此不建议在这款软体上发表敏感对话。
根据美国之音中文网报导，史丹佛大学网路观测平台主任、Facebook资安长史塔莫斯（Alex Stamos）透过推特表示，研究人员发现，由中国科技业者生产的伺服器，被用来处理Clubhouse的用户语音交谈数据。
史丹佛大学网路观测平台曾发布调查报告，指总部位在上海的中国业者声网（Agora），是为Clubhouse提供技术支持的厂商；而Clubhouse用户及聊天室的ID，都是採用未加密的方式明文传输，很容易被拦截，监听者可以轻松查到谁和谁在聊天，这对中国用户来说是「令人不安的」。
此外，声网很有可能有登入Clubhouse用户语音原始数据的权限，并有可能把这些权限转让给政府机构。而聊天室的诠释资料（Metadata）还曾被传送到位在中国的声网后台伺服器中。

专家：不要在Clubhouse上谈论敏感议题
除了声网之外，史塔莫斯表示，Clubhouse还使用了由「广州朗桥维视通信技术有限公司」生产的伺服器。
史塔莫斯指出，声网的技术是Clubhouse功能「运行的根本」。这不只限于中国用户，也涉及美国用户。因此，对于那些可能因中国的网路安全作业陷入不利处境的个人，不建议他们用Clubhouse进行敏感对话。
网路安全专家、资讯防护业者Avast美国分部全球威胁通讯部门高级总监Christopher Budd指出，Clubhouse的功能设计本身，并没有强调语音数据的全程保密，这首先就意味着数据可能会在传输过程中被截获。即使公司声称不记录也不保存讯息，但在点对点加密前，讯息被截获「始终是一个风险」。
Budd强调，这不代表Clubhouse的安全性存在缺陷，但它只是个社交媒体工具。如果使用者是一名政治异议者，或对国家活动有合理担忧者，Clubhouse的设计不是为了抵挡住这种「潜在的敌对意图」。所以，不要用Cluehouse这类的平台进行非常敏感的对话。