语音社交 app 「Clubhouse」,在中文听众中爆红。斯坦福大学网络观测平台(SIO)调查了这个 App 的数据是否保护它的用户数据,以及用户数据为何需要被保护。
上周,在中国大陆的 iphone 用户在新兴的语音社交 App「Clubhouse」展开了少见且不受约束的讨论。这股在「Clubhouse」上使用中文母语的讨论风潮持续到了 2021 年 2 月 8 日被墙的那天。
除去一般关于旅游和健康的闲聊,一些用户也选择讨论一些涉及新疆再教育基地,1989 年春夏政治风波以及少数个体遭遇部分警察不公正对待的「敏感」问题。中国官方一般会限制公开讨论这些议题,同时也使用技术手段〔在外媒一般称为Great Firewall〕限制国内的用户访问部分国外的 App 以及网站。即使在上周,Clubhouse 尚未被墙,部分网友也担心官方会监听这些对话,对自己造成不便。
近些年,伴随着新一届以习近平为核心的领导班子,对网络舆情的引导和控制与日俱增。Clubhouse 当中的语音邮箱,相比于 Twitter 来说不会留下公共的记录,导致了北京需要更复杂的技术手段实现监控需求。
斯坦福大学网络观测平台〔SIO〕确认了一家位于上海的研发实时音视频互动技术企业,声网 Agora。这家公司为 Clubhouse 提供了后台的技术支持〔参见附录〕。这层合作关系被广泛的猜测过,却从未被公开确认。此外,SIO 还认定,Clubhouse 的用户以及聊天室的 ID 都是用未被加密的明文传输的,同时声网 Agora 有很大的可能有访问用户语音原始数据的权限,并且有可能把这些权限转让给政府机构。SIO 在至少一起事件中,观察到聊天室的元数据〔Metadata,译者:描述数据的数据,例如一张电子照片的拍摄时间,相机参数就是属于元数据〕被传送到我们认定的位于中国大陆的服务器中。同时语音文件也被传输到由中国企业管理的服务器,而后被 Anycast 发布到全世界。这一过程中,Clubhouse 的用户 ID 可能和用户信息联系在一起。
SIO 决定揭示这些安全隐患,因为它们相对明显而且有可能在短时间内对百万计,尤其是在中国国内的 Clubhouse 用户造成数据安全的威胁。SIO 同时发现了其它安全漏洞,并且私下和 Clubhouse 的开发商取得了联系。在适时会想公众提供相关信息。
在这篇文章中,我们调查了中国政府通过声网 Agora 以及 Clubhouse 获取其中音频数据的潜在可能性。我们同时尝试揭示为何这件事很重要。我们将解释以下几个核心议题:
- 声网 Agora 是家怎么样的公司,我们是如何发现他们为 Clubhouse 提供技术支持,以及这一切意味着什么
- 中国政府如何获取储存在 Clubhouse 里的音频数据
- 中国大陆的用户有可能「因言获罪」吗
- 为何大陆官方要禁止这款 App
声网 Agora 是家怎么样的公司,我们是如何发现他们为 Clubhouse 提供技术支持,以及这一切意味着什么
声网 Agora 是家怎么样的公司?
声网是一家位于上海,美国总部坐落于硅谷的初创企业。它出售「实时音视频互动」平台服务给其他软件公司。换句话说,通过使用这样平台技术,像 Clubhouse 这样的 App 开发商,可以专注于界面设计,特别功能,以及用户体验。一般来说,用户很有可能没有意识到,自己使用的 App 运行在声网的平台上。
我们是如何发现他们为 Clubhouse 提供技术支持?
SIO 的分析员使用例如Wireshark的公开网络分析工具,观察 Clubhouse 的网络流量。基于分析我们发现:流出的网络被引导到了声网运营的服务器上,其中包含「qos-america.agoralab.co.」 。用户加入 Clubhouse 的一个频道,就会生产一个数据包并传输到声网的后台。这个数据包中包含每一个用户的 ID 以及访问房间 ID 的元数据。这些元数据使用未加密明码传输,这意味着任何第三方,只要获得网络权限,就可以调阅这些数据。这种情况下,任何监听着可以通过调查在同一频道的参与者,确认谁和谁在进行交流。
SIO 深挖声网平台文档,发现声网可能有获取 Clubhouse 中原始音频文件的权限。除非使用端到端加密 end-to-end encryption (E2EE) 技术,声网可以截取,破译以及储存这些数据。而现实情况是,Clubhouse 使用端到端加密技术的可能性微乎其微。
附件中包含更多这些分析中的技术细节。
为什么我们关心 Clubhouse 使用声网的托管服务
声网在中美都有业务,所以他们需要遵守《中华人民共和国网络安全法》。根据他们提供给美国证券交易委员会的文件记录,声网公司承认,他们必须遵照中国的法律,为涉及国家安全和犯罪调查提供必要的辅助和支持。如果中国政府确认某条音频文件威胁国家安全,声网有法律义务帮助政府找到并储存这条音频。
根据前例,涉疆涉港,涉及八九政治风波的对话有可能被定性为违法犯罪行为。
声网声称,除去用于网络连接质量检测以及向客户收费,他们不会储存用户的音频和元数据。如果一切属实,中国政府无法在现有法律框架下,向声网索取那些从未被记录下的数据。可是,理论上来说,政府依然可以选择监听声网的网络并记录下所需要的数据。又或者,声网对数据处理的描述和实际操作不符〔华为,一个被指责与中国军方有联系的大型通信软件公司,声明从未把数据提供给政府,即使很多西方专家对这个声明表示怀疑〕。
此外,中国政府可能获取任何在中国大陆服务器上未经加密的数据。考虑到 SIO 观测到房间元数据被传送到我们认为位于中国境内的服务器,中国政府可能可以绕开声网的网络,并收集这些元数据。
总而言之,如果中国政府可以通过声网获取用户数据,位于大陆的 Clubhouse 用户可能会面临不必要的麻烦。但是,我们也需要指出,拥有潜在获取数据的途径不等同于实际获取数据。中国政府有着庞大而冗余的官僚,如同大洋彼岸的美国政府。政府内部很可能有不同声音以及组织之间的掣肘。
中国政府可以获取 Clubhouse 储存的用户音频文件吗?
简短的答案是,只要这些数据储存在美国,就不太可能。
Clubhouse 的用户隐私权协议中指出,用户的音频将短暂储存下来用于信任和安全调查〔例如恐怖主义威胁,仇恨言论,出售未成年人个人信息等〕。如果没有提交信任和安全调查报告,Clubhouse 声称这些音频数据将被删除。该协议未指定「临时」存储的持续时间。临时可能意味着几分钟或几年。Clubhouse 的隐私政策未将声网 Agora 或任何其他中国公司列为数据二级处理者。
如果 Clubhouse 将音频存储在美国,则中国政府可以要求美国政府根据《中美互助法律援助协议》〔MLAA〕要求 Clubhouse 传输数据。但是,由于 MLAA 的规定允许该美国拒绝侵犯用户言论自由或人权的请求,例如涉及会所政治性言论的请求〔六四风波,涉港涉疆等〕,该请求可能会失败。 〕。 〔由于美国联邦法律禁止此类披露,因此中国政府不能直接向 Clubhouse 索要音频剪辑。〕
但是,如果 App 的创建者 Alpha Exploration Co.在中国拥有可以访问数据的合作伙伴或子公司,则中国政府可以合法要求在中国存储的音频〔或其他用户数据〕。除声网 Agora 之外,没有已知证据表明 Alpha Exploration Co.在中国有合作伙伴或在中国存储用户数据。
总而言之:假设 App 开发商在中国没有合作伙伴或没有在中国存储数据,那么中国政府可能无法使用法律程序来获取 Clubhouse 音频数据。根据 Clubhouse 的「临时」存储量,Clubhouse 在任何情况下都可能没有数据可以通过合法程序移交给用户。但是,如果中国政府可以直接从 Clubhouse 在声网 Agora 上的后台获取音频,则它可能并不需要求助于国际法律渠道来查找数据。
中国大陆的用户有可能在 Clubhouse「因言获罪」吗?
中国政府如果要惩罚在某些敏感话题聊天室中访问过或讲话过的 Clubhouse 用户,至少需要满足两个条件。
首先,中国政府需要知道哪些用户在哪些聊天室中。如上所述,它可以通过房间中存在的其他用户的报告或通过声网 Agora 从后端的报告来手动获取此信息。
如果手动收集数据,Clubhouse 房间中的某人需要手动记录其他用户的个人资料。他们的公开个人资料有时会显示识别信息,例如照片,电话号码或微信账户。 〔电话号码和微信账号是在中国的实名注册。可以通过面部识别算法来识别照片。〕但是,大多数俱乐部会所的个人资料都不会显示识别信息。在这种情况下,政府将需要通过自己的监视机制或通过声网 Agora 访问标识信息。
中国的对内监视能力相当强大却不透明。中国政府很可能无需借助 Clubhouse 或 Agora 即可访问大陆用户的数据或元数据,如同爱德华·斯诺登〔Edward Snowden〕透露的美国政府窃听网络流量的方式。如上所述,中国政府可以轻松拦截用户设备发送的纯文本元数据,例如房间 ID 和用户 ID。如果政府无法独立访问用户数据,则需要从声网 Agora 或 Clubhouse 请求和接收数据。如上所述,目前尚不清楚政府能否轻易做到这一点。 声网 Agora 声称不存储用户数据,而 Clubhouse 极不可能提供它。
其次,中国政府必须要有意愿去惩罚 Clubhouse 的用户。我们尚未可知这个意愿是否存在。研究表明,中国政府有时可以容忍公众批评,因为这种批评不会引起广泛的关注,也不会造成群体事件。在这些尺度上,Clubhouse 是灰色地带。由于邀请制,并且只能在相对昂贵的 iPhone 上使用〔不到所有中国智能手机用户的 10%〕,因此该App可能没有在中国城市精英人群之外广泛使用。此外,每个Clubhouse聊天室最多可容纳五千个用户。即使绝对数量不小,但造成潜在群体事件的概率不大。从政府的角度来看,所有这些因素都可能减轻Clubhouse的“威胁性”。
另一方面事实证明,中国政府对通过线上平台协调线下群体活动十分敏感,如同短命的内涵段子App。Clubhouse 是一个独特的空间:它承载着各种「网络聚会」〔中国政府不喜欢〕,但它同时还是半私有的,且尚未在大众间广泛流行〔这可能导致更大的政府容忍度〕。无论如何,我们只能推测。
如果政府确实想处罚该 App 的国内用户,那么公众可能对此一无所知-甚至用户本身也不会知情。近年来,中国政府促进了针对黑名单上公民的秘密审查机制的发展,例如,在国内社交媒体 微信上提高用户的敏感度指数。被列入黑名单的用户可能会在向他们的朋友发送消息时,意识到该消息只会出现在他们的屏幕上,而不是他们的朋友的屏幕上。政府还可以采取威胁性措施,而不是直接惩罚行为,例如邀请用户「喝茶「。即使发生这种情况,我们也可能永远不知道 Clubhouse 的活动是否触发了喝茶邀请。
为何大陆官方要禁止这款 App
为什么要完全禁止该应用程序?
多年来,中国政府封锁了不完全符合其宣扬的「网络主权」原则的网站或 App,即每个国家都应为其领土内的网络活动设置界限的想法。中国政府通常对非法行为保持宽松的定义,从而在阻止有害内容方面拥有最大的灵活性。
政府很少解释为什么阻止单个 App。就 Clubhouse 而言,政府很可能反对有关新疆,香港,天安门,审查制度等的政治话题。国有的民族主义报纸《环球时报》经常反映政府内部的强硬立场,发表社论时抱怨说,「Clubhouse 里的政治讨论通常是单方面的」,而「支持政府的声音很容易被压制。」
为什么现在禁止它?
Clubhouse 的大多数大陆用户以及外国记者和分析师都预计该 App 最终将被禁止。更紧迫的问题是何时。尽管有许多因素可能导致了该应用被禁的时机,以下是三种可能性。
首先,政府网络审查机构工作人员可能没有上班。加利福尼亚大学圣地亚哥分校政治学教授玛格丽特·罗伯茨〔Margaret Roberts〕进行的研究表明,审查制度在周末和国内法定假期有所下降。周末,检查员不工作时,Clubhouse 迅速流行开来。这周同时也是春节假期,大部分公务员在家休息。
其次,中国政府可能希望收集有关其公民的舆情信息。学者们早就注意到「专制的困境」,即专制政府在收集准确的舆论衡信息的时候面临的挑战。因为公民害怕报复,所以他们有可能隐藏自己真实的想法。中国政府实际上有可能会重视 Clubhouse 之类的网络空间,以便通过这个简短的窗口了解其人民〔主要是精英〕的真实政治见解。
第三,禁止一个 App 可能需要很长时间。国家互联网信息办公室〔CAC〕是一个庞大而复杂的官僚机构,它负责通过国家防火墙〔Great Firewall〕禁止特定 App。该禁令的决定可能被繁文缛节所拖延。国家防火墙本身也是一个庞大而复杂的系统。重整资源可能需要技术劳工。
这些问题的答案可能是所有这些之前的分析,也可能远离之前的分析。本文罗列的只是初步的分析。
附录:技术分析
根据声网 Agora 的文档,音频使用其实时通信〔RTC〕标准开发插件〔SDK〕通过声网 Agora 进行中继。可以将其想象为一个老式的电话运营商:要与其他人联系,运营商必须连接两个用户。在这种情况下,Clubhouse 的 App 是每个用户的电话,而声网 Agora 是运营商。
Clubhouse application‘s property list (.plist) file, bundled with the iOS application, contains its Agora application ID
当用户加入或在 Clubhouse 中创建聊天室时,该用户的应用通过安全 HTTP〔HTTPS〕向声网 Agora 的基础架构发出请求。 〔通过 HTTP 进行「请求」是访问网站的最常见方法;很可能您现在就是使用这个方法阅读到这篇文章的。〕要发出请求,用户的手机联系 Clubhouse 的应用程序编程接口〔API〕。手机将请求[POST /api/create_channel]发送到 Clubhouse 的 API。API 返回字段令牌和rtm_token,其中令牌是 Agora RTC 令牌,而rtm_token是 RTM〔实时消息〕令牌。这些「令牌」然后用于建立通信路径,以确保用户之间的音频流量。
The request to create a channel on Clubhouse‘s API returns the Agora tokens
然后,SIO 观察到用户的手机通过 UDP〔一种更轻量级的传输机制〕将数据包发送到名为「 qos-america.agoralab.co」的服务器。用户的数据包包含有关该频道的未加密元数据,例如用户是否已请求加入聊天室,用户的 Clubhouse ID 号以及是否已将自己静音。
A packet sent to Agora contains, in cleartext, the id of the channel and the user‘s ID
用户从 Clubhouse 收到 RTC 令牌后,他们的手机将使用该令牌对 Agora 进行身份验证,以便可以通过相互认可的途径直接与 Agora 交流聊天室的加密音频。根据 Agora 的文档,Agora 可以访问加密密钥。尽管文档中没有指定使用哪种加密方式,但它可能是基于 UDP 的对称加密。
Agora 无法访问用户原始音频的唯一方法是,如果 Clubhouse 使用定制的加密方法进行端到端加密〔E2EE〕。尽管从理论上讲这是可行的,但这样做将需要 Clubhouse 向所有用户分发公钥。这还不存在。因此,极不可能有 E2EE 加密。
Sequence and content of UDP traffic from a device joining a Clubhouse room Diagram by the Stanford Internet Observatory
SIO 团队收到了 Clubhouse 的答复,并将其全部包括在内。我们尚未验证 Clubhouse 的任何声明。[译者注:以下翻译仅供参考,一切以 Clubhouse 官方英文回复为准]:
Clubhouse 致力于数据保护和用户隐私。
我们将服务设计为一个世界各地的人们可以聚集在一起互相交谈,倾听和学习的地方。鉴于中国在数据隐私方面的良好记录,我们在 Appstore 上推出 Clubhouse 使其在除中国外的所有其他国家/地区均可使用时做出了艰难的决定。中国的一些人找到了下载该应用程序的解决方法,这意味着-直到该应用程序在本周早些时候被中国阻止为止,他们所参与的对话可以通过中国服务器传输。
在 Stanford Internet Observatory 的研究人员的帮助下,我们确定了一些可以进一步加强数据保护的领域。例如,对于我们流量的一小部分,包含用户 ID 的网络 ping 将被发送到全球服务器〔其中可能包括中国的服务器〕,以确定到达客户端的最快路由。在接下来的 72 小时内,我们将推出更改以添加其他加密和块,以防止 Clubhouse 客户端将 ping 传输到中国服务器。我们还计划聘请外部数据安全公司来审查和验证这些更改。
