파파고 번역
스탠포드 인터넷 천문대의 한 연구팀은 클럽하우스의 데이터 보호 관행이 그들의 원시 오디오를 포함한 사용자들의 데이터를 중국 정부에 의해 잠재적으로 접근할 수 있도록 허용했다고 결정했다.
SIO 연구진은 새로운 보고서에서 클럽하우스가 실시간 음성 및 영상 참여 플랫폼을 제공하는 중국 기업 아고라를 백엔드 인프라 공급에 활용하고 있다고 밝혔다. 클럽하우스가 아고라의 플랫폼을 앱의 '너츠앤볼트' 인프라에 활용한다는 의미다.
SIO 연구원들은 사용자가 Clubhouse의 채널에 가입할 때 각 사용자에 대한 메타데이터가 포함된 패킷이 아고라의 백엔드 인프라로 전송된다는 사실을 발견했다. 메타데이터에는 사용자 고유의 Clubhouse ID와 가입하는 객실 ID가 포함된다. 그것은 암호화되지 않고, "사용자의 네트워크 트래픽에 대한 액세스를 가진 제3자가 접속할 수 있다는 것을 의미한다."
"이런 방식으로 도청자는 두 명의 사용자가 같은 채널에 가입하는지를 감지함으로써, 예를 들어, 두 명의 사용자가 서로 대화하고 있는지 여부를 알 수 있다"고 연구진은 썼다.
게다가, 연구원들은 아고라가 클럽하우스의 원시 오디오 트래픽에 접근할 가능성이 있다는 것을 발견했다. 즉, 오디오가 엔드 투 엔드 암호화되지 않은 경우 SIO가 말하는 "지나치게 가능성이 희박하다.—아고라는 오디오를 가로채고, 녹음하고, 저장할 수 있다.
여러분들 중 몇몇은 클럽하우스가 실리콘밸리에 사무소를 가지고 있는 중국인 공급자를 가지고 있는 것이 왜 중요한지 궁금해 할 것이다. 이는 아고라가 중국의 사이버보안법을 반드시 준수해야 한다는 뜻이기 때문에 극히 중요하다. 연구진은 아고라 스스로 국가안보와 범죄 수사 관련 사안에 대해 중국에 지원과 지원을 할 의무가 있다는 점을 인정했다고 지적한다. 즉, 다음과 같다.
이들은 "만약 중국 정부가 오디오 메시지가 국가 안보를 위태롭게 한다고 판단한다면 아고라는 합법적으로 정부의 위치 파악과 저장을 도와야 할 것"이라고 썼다.
보고서에 따르면 아고라는 네트워크 품질을 감시하고 클라이언트에 대금을 청구하는 것 외에는 사용자 오디오나 메타데이터를 저장하지 않는다고 주장한다. 그러나 연구자들은 중국 정부가 아고라의 네트워크를 두드리고 사용자 데이터를 기록하는 것은 이론적으로 여전히 가능하다는 점에 주목한다.
아고라는 15일 로이터통신과의 인터뷰에서 클럽하우스와의 관계에 대해 아무런 언급도 하지 않았다고 밝혔다. 대변인은 "개인 데이터를 접근하거나 저장하지 않고 있으며, 미국 사용자의 트래픽을 포함해 중국 외부에서 생성된 음성 및 비디오 트래픽을 중국을 통해 전달하지 않는다"고 말했다.
기즈모도는 아고라에게 손을 뻗어 연구자들의 연구 결과에 대한 의견을 물었다. 우리가 답장을 받으면 이 블로그를 업데이트 할 거야.
SIO는 특히 최근 중국 내 앱 활동을 감안할 때 정부가 앱 사용자를 식별할 수 있다면 중국 본토 사용자가 직면할 수 있는 잠재적 위험을 강조했다. 이번 주 초 정부가 이를 차단하기 전 중국 앱 사용자들은 신장 위구르 강제수용소, 천안문 광장 시위 등을 공개적으로 논의했고, 그 중에서도 중국 내에서는 제한돼 있는 주제를 다루기도 했다.
정부에 의한 이러한 사용자 확인은 보복과 처벌, 또는 심지어 은밀한 위협으로 이어질 수 있다.
톈안먼 시위나 신장 캠프, 홍콩 시위에 대한 논의는 범죄 행위로 간주될 수 있다. 그들은 이전에 자격을 갖춘 적이 있습니다,"라고 연구원들은 말했다.
연구자들은 이 결함을 발견하기 쉽기 때문에 이러한 보안 문제를 밝히기로 결정했다. 게다가, 그들은 이 문제들이 특히 중국의 수백만 사용자들에게 즉각적인 보안 위험을 야기한다고 말했다. SIO팀은 또 클럽하우스에 비공개로 보고한 다른 보안 결함도 발견해 언제 수리됐는지, 일정 기한이 지나면 밝히겠다고 밝혔다.
클럽하우스는 SIO 보고서에 대해 "데이터 보호와 사용자 사생활 보호에 심혈을 기울이고 있다"고 밝혔다. 이 앱은 중국에서 클럽하우스를 출시하지는 않았지만 일부에서 앱을 내려받을 수 있는 해결책이 발견됐고, "그들의 일부였던 대화 내용은 중국 서버를 통해 전송될 수 있다"고 밝혔다.
연구진이 전면적으로 발표한 대응책에서 클럽하우스는 연구진이 데이터 보호를 강화할 수 있는 분야를 파악하는 데 도움을 줬다고 밝혔다.
Clubhouse는 "예를 들어 트래픽의 적은 비율에 대해 사용자 ID가 포함된 네트워크 ping은 전 세계 서버로 전송되며, 이는 중국에 있는 서버를 포함할 수 있다"고 말했다. "향후 72시간 동안 우리는 클럽하우스 고객들이 중국 서버에 ping을 전송하는 것을 막기 위해 추가적인 암호화와 블록을 추가하기 위한 변경사항을 롤아웃하고 있다."
기즈모도는 클럽하우스에 손을 내밀어 SIO 보고서에 대한 코멘트를 받았다. 우리가 답장을 받으면 이 블로그를 꼭 업데이트 할 거야.
요약
1. 클럽하우스가 사용하는 API는 중국의 아고라 라는 회사에서 제작
2. 클럽하우스 이용자의 메타 데이터가 현재 상태에선 암호화도 안 되어 있는 상태로 아고라에 전송은 되고 있음
3. 아고라가 맘만 먹으면, 채팅 음성 데이터에 접근할 수 있음
4. 아고라는 중국 회사이고, 이는 중국 정부의 요청이 있을 때 협조를 거부할 수 없음
5. 클럽하우스 측은 암호화 작업을 즉시 하겠다고 한 상태
(IP보기클릭)106.249.***.***
10명 남짓한 스타트업 회사라고하던데. 중국에 DB 넘기는거 막을 수 있는 능력이 되는지 모르것네
(IP보기클릭)211.245.***.***
클하 가입정보로 휴대폰 번호 알겠다. 음성 원본 있겠다... AI 음성 조작으로 피싱에 쓰이면 쫌 위험한데...
(IP보기클릭)175.215.***.***
ㅋㅋㅋ 옆동네가면 신문물마냥 빨아재끼고 릴레이하고 난리더만
(IP보기클릭)39.7.***.***
얘네만큼 보이스피싱에 쓰이기 좋은 소스도 없을듯
(IP보기클릭)106.248.***.***
상해에도 서버가 있고, 회사가 상해에도 있음
(IP보기클릭)106.249.***.***
10명 남짓한 스타트업 회사라고하던데. 중국에 DB 넘기는거 막을 수 있는 능력이 되는지 모르것네
(IP보기클릭)14.40.***.***
(IP보기클릭)175.215.***.***
ㅋㅋㅋ 옆동네가면 신문물마냥 빨아재끼고 릴레이하고 난리더만
(IP보기클릭)211.245.***.***
클하 가입정보로 휴대폰 번호 알겠다. 음성 원본 있겠다... AI 음성 조작으로 피싱에 쓰이면 쫌 위험한데...
(IP보기클릭)39.7.***.***
얘네만큼 보이스피싱에 쓰이기 좋은 소스도 없을듯
(IP보기클릭)125.131.***.***
루리웹-6759032655
검색해보니 중국 상하이에 있다는데? | 21.02.17 11:40 | | |
(IP보기클릭)106.248.***.***
루리웹-6759032655
상해에도 서버가 있고, 회사가 상해에도 있음 | 21.02.17 11:40 | | |
(IP보기클릭)118.235.***.***
루리웹-6759032655
줌도 미국에 본사 있었고 창업자가 중국계 국인이었지만 보안 문제 터짐 2세가 아닌이상 -짱-은 믿으면 안됨 | 21.02.17 13:57 | | |
(IP보기클릭)118.36.***.***
(IP보기클릭)119.67.***.***
(IP보기클릭)203.138.***.***
(IP보기클릭)113.185.***.***
(IP보기클릭)58.232.***.***
(IP보기클릭)58.232.***.***