語音社交App
“Clubhouse”,在中文聽眾中爆紅。斯坦福大學網絡觀測平台(SIO)調查了這個App的數據是否保護它的用戶數據,以及用戶數據為何需要被保護。
Jack Cable, Matt DeButts,Renee DiResta,Riana Pfefferkorn,Alex
Stamos,David Thiel, Stanford Internet Observatory
Elena Cryst
上周,在中國大陸的iPhone用戶在新興的語音社交App“Clubhouse”展開了少見且不受約束的討論。這股在“Clubhouse”上使用中文母語的討論風潮持續到了2021年2月8日被牆的那天。
除去一般關於旅遊和健康的閑聊,一些用戶也選擇討論一些涉及新疆再教育基地,1989年春夏政治風波以及少數個體遭遇部分警察不公正對待的“敏感”問題。中國官方一般會限製公開討論這些議題,同時也使用技術手段(在外媒一般稱為Great
Firewall)限製國內的用戶訪問部分國外的App以及網站。即使在上周,Clubhouse尚未被牆,部分網友也擔心官方會監聽這些對話,對自己造成不便。
近些年,伴隨著新一屆以習近平為核心的領導班子,對網絡輿情的引導和控製與日俱增。Clubhouse當中的語音信箱,相比於Twitter來說不會留下公共的記錄,導致了北京需要更複雜的技術手段實現監控需求。
斯坦福大學網絡觀測平台(SIO)確認了一家位於上海的研發實時音視頻互動技術企業,聲網Agora。這家公司為Clubhouse提供了後台的技術支持(參見附錄)。這層合作關係被廣泛的猜測過,卻從未被公開確認。此外,SIO還認定,Clubhouse的用戶以及聊天室的ID都是用未被加密的明文傳輸的,同時聲網Agora有很大的可能有訪問用戶語音原始數據的權限,並且有可能把這些權限轉讓給政府機構。SIO在至少一起事件中,觀察到聊天室的元數據(Metadata,譯者:描述數據的數據,例如一張電子照片的拍攝時間,相機參數就是屬於元數據)被傳送到我們認定的位於中國大陸的服務器中。同時語音文件也被傳輸到由中國企業管理的服務器,而後被Anycast發布到全世界。這一過程中,Clubhouse的用戶ID可能和用戶信息聯係在一起。
SIO決定揭示這些安全隱患,因為它們相對明顯而且有可能在短時間內對百萬計,尤其是在中國國內的Clubhouse用戶造成數據安全的威脅。SIO同時發現了其它安全漏洞,並且私下和Clubhouse的開發商取得了聯係。在適時會想公眾提供相關信息。
在這篇文章中,我們調查了中國政府通過聲網Agora以及Clubhouse獲取其中音頻數據的潛在可能性。我們同時嚐試揭示為何這件事很重要。我們將解釋以下幾個核心議題:
聲網Agora是家怎麽樣的公司,我們是如何發現他們為Clubhouse提供技術支持,以及這一切意味著什麽
中國政府如何獲取儲存在Clubhouse裏的音頻數據
中國大陸的用戶有可能“因言獲罪”嗎
為何大陸官方要禁止這款App
聲網Agora是家怎麽樣的公司,我們是如何發現他們為Clubhouse提供技術支持,以及這一切意味著什麽
聲網Agora是家怎麽樣的公司?
聲網是一家位於上海,美國總部坐落於矽穀的初創企業。它出售“實時音視頻互動”平台服務給其他軟件公司。換句話說,通過使用這樣平台技術,像Clubhouse這樣的App開發商,可以專注於界麵設計,特別功能,以及用戶體驗。一般來說,用戶很有可能沒有意識到,自己使用的App運行在聲網的平台上。
我們是如何發現他們為Clubhouse提供技術支持?
SIO的分析員使用例如Wireshark的公開網絡分析工具,觀察Clubhouse的網絡流量。基於分析我們發現:流出的網絡被引導到了聲網運營的服務器上,其中包含“qos-america.agoralab.co.”
。用戶加入Clubhouse的一個頻道,就會生產一個數據包並傳輸到聲網的後台。這個數據包中包含每一個用戶的ID以及訪問房間ID的元數據。這些元數據使用未加密明碼傳輸,這意味著任何第三方,隻要獲得網絡權限,就可以調閱這些數據。這種情況下,任何監聽著可以通過調查在同一頻道的參與者,確認誰和誰在進行交流。
SIO深挖聲網平台文檔,發現聲網可能有獲取Clubhouse中原始音頻文件的權限。除非使用端到端加密end-to-end
encryption (E2EE)
技術,聲網可以截取,破譯以及儲存這些數據。而現實情況是,Clubhouse使用端到端加密技術的可能性微乎其微。
附件中包含更多這些分析中的技術細節。
為什麽我們關心Clubhouse使用聲網的托管服務
聲網在中美都有業務,所以他們需要遵守《中華人民共和國網絡安全法》。根據他們提供給美國證券交易委員會的檔案記錄,聲網公司承認,他們必須遵照中國的法律,為涉及國家安全和犯罪調查提供必要的輔助和支持。如果中國政府確認某條音頻文件威脅國家安全,聲網有法律義務幫助政府找到並儲存這條音頻。
根據前例,涉疆涉港,涉及八九政治風波的對話有可能被定性為違法犯罪行為。
聲網聲稱,除去用於網絡連接質量檢測以及向客戶收費,他們不會儲存用戶的音頻和元數據。如果一切屬實,中國政府無法在現有法律框架下,向聲網索取那些從未被記錄下的數據。可是,理論上來說,政府依然可以選擇監聽聲網的網絡並記錄下所需要的數據。又或者,聲網對數據處理的描述和實際操作不符(華為,一個被指責與中國軍方有聯係的大型通信軟件公司,聲明從未把數據提供給政府,即使很多西方專家對這個聲明表示懷疑)。
此外,中國政府可能獲取任何在中國大陸服務器上未經加密的數據。考慮到SIO觀測到房間元數據被傳送到我們認為位於中國境內的服務器,中國政府可能可以繞開聲網的網絡,並收集這些元數據。
總而言之,如果中國政府可以通過聲網獲取用戶數據,位於大陸的Clubhouse用戶可能會麵臨不必要的麻煩。但是,我們也需要指出,擁有潛在獲取數據的途徑不等同於實際獲取數據。中國政府有著龐大而冗餘的官僚,如同大洋彼岸的美國政府。政府內部很可能有不同聲音以及組織之間的掣肘。
中國政府可以獲取Clubhouse儲存的用戶音頻文件嗎?
簡短的答案是,隻要這些數據儲存在美國,就不太可能。
Clubhouse的用戶隱私權協議中指出,用戶的音頻將短暫儲存下來用於信任和安全調查(例如恐怖主義威脅,仇恨言論,出售未成年人個人信息等)。如果沒有提交信任和安全調查報告,Clubhouse聲稱這些音頻數據將被刪除。該協議未指定“臨時”存儲的持續時間。臨時可能意味著幾分鍾或幾年。Clubhouse的隱私政策未將聲網Agora或任何其他中國公司列為數據二級處理者。
如果Clubhouse將音頻存儲在美國,則中國政府可以要求美國政府根據《中美互助法律援助協議》(MLAA)要求Clubhouse傳輸數據。但是,由於MLAA的規定允許該美國拒絕侵犯用戶言論自由或人權的請求,例如涉及會所政治性言論的請求(六四風波,涉港涉疆等),該請求可能會失敗。
)。 (由於美國聯邦法律禁止此類披露,因此中國政府不能直接向Clubhouse索要音頻剪輯。)
但是,如果App的創建者Alpha Exploration
Co.在中國擁有可以訪問數據的合作夥伴或子公司,則中國政府可以合法要求在中國存儲的音頻(或其他用戶數據)。除聲網Agora之外,沒有已知證據表明Alpha
Exploration Co.在中國有合作夥伴或在中國存儲用戶數據。
總而言之:假設App開發商在中國沒有合作夥伴或沒有在中國存儲數據,那麽中國政府可能無法使用法律程序來獲取Clubhouse音頻數據。根據Clubhouse的“臨時”存儲量,Clubhouse在任何情況下都可能沒有數據可以通過合法程序移交給用戶。但是,如果中國政府可以直接從Clubhouse在聲網Agora上的後台獲取音頻,則它可能並不需要求助於國際法律渠道來查找數據。
中國大陸的用戶有可能在Clubhouse“因言獲罪”嗎?
中國政府如果要懲罰在某些敏感話題聊天室中訪問過或講話過的Clubhouse用戶,至少需要滿足兩個條件。
首先,中國政府需要知道哪些用戶在哪些聊天室中。如上所述,它可以通過房間中存在的其他用戶的報告或通過聲網Agora從後端的報告來手動獲取此信息。
如果手動收集數據,Clubhouse房間中的某人需要手動記錄其他用戶的個人資料。他們的公開個人資料有時會顯示識別信息,例如照片,電話號碼或微信帳戶。
(電話號碼和微信帳號是在中國的實名注冊。可以通過麵部識別算法來識別照片。)但是,大多數俱樂部會所的個人資料都不會顯示識別信息。在這種情況下,政府將需要通過自己的監視機製或通過聲網Agora訪問標識信息。
中國的對內監視能力相當強大卻不透明。中國政府很可能無需借助Clubhouse或Agora即可訪問大陸用戶的數據或元數據,如同愛德華·斯諾登(Edward
Snowden)透露的美國政府竊聽網絡流量的方式。如上所述,中國政府可以輕鬆攔截用戶設備發送的純文本元數據,例如房間ID和用戶ID。如果政府無法獨立訪問用戶數據,則需要從聲網Agora或Clubhouse請求和接收數據。如上所述,目前尚不清楚政府能否輕易做到這一點。
聲網Agora聲稱不存儲用戶數據,而Clubhouse極不可能提供它。
其次,中國政府必須要有意願去懲罰Clubhouse的用戶。我們尚未可知這個意願是否存在。研究表明,中國政府有時可以容忍公眾批評,因為這種批評不會引起廣泛的關注,也不會造成群體事件。在這些尺度上,Clubhouse是灰色地帶。由於邀請製,並且隻能在相對昂貴的iPhone上使用(不到所有中國智能手機用戶的10%),因此該App可能沒有在中國城市精英人群之外廣泛使用。此外,每個Clubhouse聊天室最多可容納五千個用戶。即使絕對數量不小,但造成潛在群體事件的幾率不大。從政府的角度來看,所有這些因素都可能減輕Clubhouse的“威脅性”。
另一方麵事實證明,中國政府對通過線上平台協調線下群體活動十分敏感,如同短命的內涵段子App。Clubhouse是一個獨特的空間:它承載著各種“網絡聚會”(中國政府不喜歡),但它同時還是半私有的,且尚未在大眾間廣泛流行(這可能導致更大的政府容忍度)。無論如何,我們隻能推測。
如果政府確實想處罰該App的國內用戶,那麽公眾可能對此一無所知-甚至用戶本身也不會知情。近年來,中國政府促進了針對黑名單上公民的秘密審查機製的發展,例如,在國內社交媒體
微信上提高用戶的敏感度指數。被列入黑名單的用戶可能會在向他們的朋友發送消息時,意識到該消息隻會出現在他們的屏幕上,而不是他們的朋友的屏幕上。政府還可以采取威脅性措施,而不是直接懲罰行為,例如邀請用戶“喝茶”。即使發生這種情況,我們也可能永遠不知道Clubhouse的活動是否觸發了喝茶邀請。
為何大陸官方要禁止這款App
為什麽要完全禁止該應用程序?
多年來,中國政府封鎖了不完全符合其宣揚的“網絡主權”原則的網站或App,即每個國家都應為其領土內的網絡活動設定界限的想法。中國政府通常對非法行為保持寬鬆的定義,從而在阻止有害內容方麵擁有最大的靈活性。
政府很少解釋為什麽阻止單個App。就Clubhouse而言,政府很可能反對有關新疆,香港,天安門,審查製度等的政治話題。國有的民族主義報紙《環球時報》經常反映政府內部的強硬立場,發表社論時抱怨說,“Clubhouse裏的政治討論通常是單方麵的”,而“支持政府的聲音很容易被壓製。”
為什麽現在禁止它?
Clubhouse的大多數大陸用戶以及外國記者和分析師都預計該App最終將被禁止。更緊迫的問題是何時。盡管有許多因素可能導致了該應用被禁的時機,以下是三種可能性。
首先,政府網絡審查機構工作人員可能沒有上班。加利福尼亞大學聖地亞哥分校政治學教授瑪格麗特·羅伯茨(Margaret
Roberts)進行的研究表明,審查製度在周末和國內法定假期有所下降。周末,檢查員不工作時,Clubhouse迅速流行開來。這周同時也是春節假期,大部分公務員在家休息。
其次,中國政府可能希望收集有關其公民的輿情信息。學者們早就注意到“專製的困境”,即專製政府在收集準確的輿論衡信息的時候麵臨的挑戰。因為公民害怕報複,所以他們有可能隱藏自己真實的想法。中國政府實際上有可能會重視Clubhouse之類的網絡空間,以便通過這個簡短的窗口了解其人民(主要是精英)的真實政治見解。
第三,禁止一個App可能需要很長時間。國家互聯網信息辦公室(CAC)是一個龐大而複雜的官僚機構,它負責通過國家防火牆(Great
Firewall)禁止特定App。該禁令的決定可能被繁文縟節所拖延。國家防火牆本身也是一個龐大而複雜的係統。重整資源可能需要技術勞工。
這些問題的答案可能是所有這些之前的分析,也可能遠離之前的分析。本文羅列的隻是初步的分析。
附錄:技術分析
根據聲網Agora的文檔,音頻使用其實時通信(RTC)標準開發套件(SDK)通過聲網Agora進行中繼。可以將其想象為一個老式的電話運營商:要與其他人聯係,運營商必須連接兩個用戶。在這種情況下,Clubhouse的App是每個用戶的電話,而聲網Agora是運營商。
Clubhouse application’s property list (.plist) file, bundled
with the iOS application, contains its Agora application ID
當用戶加入或在Clubhouse中創建聊天室時,該用戶的應用通過安全HTTP(HTTPS)向聲網Agora的基礎架構發出請求。
(通過HTTP進行“請求”是訪問網站的最常見方法;很可能您現在就是使用這個方法閱讀到這篇文章的。)要發出請求,用戶的手機聯係Clubhouse的應用程序編程接口(API)。手機將請求|
[POST /api/create_channel]發送到Clubhouse的API。
API返回字段令牌和rtm_token,其中令牌是Agora
RTC令牌,而rtm_token是RTM(實時消息)令牌。這些“令牌”然後用於建立通信路徑,以確保用戶之間的音頻流量。
The request to create a channel on Clubhouse’s API returns the
Agora tokens
然後,SIO觀察到用戶的手機通過UDP(一種更輕量級的傳輸機製)將數據包發送到名為“
qos-america.agoralab.co”的服務器。用戶的數據包包含有關該頻道的未加密元數據,例如用戶是否已請求加入聊天室,用戶的Clubhouse
ID號以及是否已將自己靜音。
A packet sent to Agora contains, in cleartext, the id of the
channel and the user’s ID
用戶從Clubhouse收到RTC令牌後,他們的手機將使用該令牌對Agora進行身份驗證,以便可以通過相互認可的途徑直接與Agora交流聊天室的加密音頻。根據Agora的文檔,Agora可以訪問加密密鑰。盡管文檔中沒有指定使用哪種加密方式,但它可能是基於UDP的對稱加密。
Agora無法訪問用戶原始音頻的唯一方法是,如果Clubhouse使用定製的加密方法進行端到端加密(E2EE)。盡管從理論上講這是可行的,但這樣做將需要Clubhouse向所有用戶分發公鑰。這還不存在。因此,極不可能有E2EE加密。
Sequence and content of UDP traffic from a device joining a
Clubhouse room* Diagram by the Stanford Internet Observatory
SIO團隊收到了Clubhouse的答複,並將其全部包括在內。我們尚未驗證Clubhouse的任何聲明。[譯者注:以下翻譯僅供參考,一切以Clubhouse官方英文回複為準]:
Clubhouse致力於數據保護和用戶隱私。
我們將服務設計為一個世界各地的人們可以聚集在一起互相交談,傾聽和學習的地方。鑒於中國在數據隱私方麵的良好記錄,我們在Appstore上推出Clubhouse使其在除中國外的所有其他國家/地區均可使用時做出了艱難的決定。中國的一些人找到了下載該應用程序的解決方法,這意味著-直到該應用程序在本周早些時候被中國阻止為止,他們所參與的對話可以通過中國服務器傳輸。
在Stanford Internet
Observatory的研究人員的幫助下,我們確定了一些可以進一步加強數據保護的領域。例如,對於我們流量的一小部分,包含用戶ID的網絡ping將被發送到全球服務器(其中可能包括中國的服務器),以確定到達客戶端的最快路由。在接下來的72小時內,我們將推出更改以添加其他加密和塊,以防止Clubhouse客戶端將ping傳輸到中國服務器。我們還計劃聘請外部數據安全公司來審查和驗證這些更改。
華夏新聞|時事與歷史:CLUBHOUSE在中國:它的數據安全嗎?