ClubHouse 到底安不安全?需要先問幾個問題

前幾個禮拜開始, ClubHouse 在台灣蔚為風尚,隨後不久,就有台灣網友發現 ClubHouse 背後使用的音訊串流技術,是來自中國的 Agora (聲網)公司,引發一波對 ClubHouse 的資安疑慮。網友並提到,聲網公司的其中一個產品,可以對中文音頻內容進行即時偵測和審查,雖然並無證據指出 ClubHouse 有使用這個言論審查的產品,但確定的是 ClubHouse 有使用聲網的其中一個服務(至少根據媒體報導),因此略微有言論審查和監控的疑慮。

幾天之後,有台灣資訊技術圈人士分享從聲網 CTO 聽到的 ClubHouse 技術細節。也有人把 app 拆開看一下裡面有包含什麼元件。這些技術資料雖然並沒有不準確,但若要回答「ClubHouse 安不安全?」這個問題,單看這些技術資料是不夠的。

如何判斷一個應用程式安不安全?

跟大部分專業領域的問題一樣,若要認真回答這個問題,要先反問:「你對安全的定義為何?」這時候就會開始收到各種答案(以 ClubHouse 為例):

  1. 安全就是這個應用程式不會偷我的個資
  2. 安全就是怪人不能隨便進來我的 ClubHouse 房間
  3. 安全就是我不會因為在 ClubHouse 的發言就被查水錶

你應該已經猜到了,以上這些回答都還是很不精確、漏洞百出,可以再接著問下去:

  1. 何謂偷?何謂個資?
  2. 怪人的定義為何?
  3. 查水錶的定義為何?

這樣會沒完沒了,而且即使有問完這些問題的一天,從資安專業的角度看來這些資訊還是非常褊狹,會有各種發問者沒有考慮到的狀況,難以涵蓋「安全」的各種層面。所以通常在討論一個應用程式(或是一個線上服務、一個硬體產品等等)安不安全的時候,我們一次只能在特定範圍和情境下討論安全。如果不限定情境地去討論安全,那是沒有意義的,舉例來說,位在美國的美國公民和位在中國的中國公民,資安上要考慮的事情就差很多。

資訊安全領域中,面對此問題,通常會先進行威脅建模。也就是透過一個預先指定好的框架,去系統性的分析資訊安全的考量(甚至是人身安全可能也可以這樣分析)。威脅建模若要複雜起來可以很複雜,也有各種方法可以去輔助這個釐清的流程,但如果以最簡單的方式出發,其實只需要思考這幾個問題

  1. 我要保護什麼?
  2. 我想保護它免於誰的攻擊?
  3. 如果保護失敗了,後果是什麼?有多糟?
  4. 這攻擊發生的機率有多大?
  5. 我願意花多少心力去避免攻擊一旦成功的後果?

另外需注意到,以上這些問題,很多都牽涉「我」。這些問題很可能對於每個人來說答案都不一樣。如果把「我」這個考慮的範圍太過放大,一次考慮太多人,就會發生因為各種差異而難以討論的問題。

手機應用程式的通病

現今很多網路服務和應用程式都是使用免費來吸引使用者,然後再收集使用者有價值的個人資料來牟利,因此形成幾個大部分人應該都會在意的問題。但對大部分人和應用程式來說,資安問題通常也不會僅止於此

我隨便舉例幾個現今手機應用程式常見的問題:

  1. 收集裝置識別碼和其他裝置資料來追蹤使用者,做得好的話可以跨平臺追蹤使用者。舉例來說可能可以得知這個使用者在拍賣 App 裡面搜尋的關鍵詞,然後他又去比價網站搜尋了其他關鍵詞,然後又造訪某個新聞網站等等。
  2. 透過使用者同意上傳的通訊錄分析使用者的社交圈,以便進行更好的產品推薦,或是對使用者的社交圈的人進一步行銷產品等等。
  3. 整合各種第三方(應用程式開發者之外的)平臺到應用程式內,讓第三方平臺得以跨應用程式收集使用者資料,等於是這些應用程式讓這些第三方平臺來收集使用者個資。第三方平臺通常包含 Facebook, Google ,所以你在應用程式內的瀏覽紀錄會分享給 Facebook 。
  4. 在後端配合應用程式運行的伺服器安全設定不佳,導致資料外洩。

應用程式資安分析

以上的通病和所有其他的資安問題的實際存在與否,都需要進行分析才能得知。針對應用程式的資安分析通常是去細部地觀察應用程式執行時的行為(動態分析),還有應用程式本身的程式碼設計(靜態分析),統稱為「逆向工程」 (reverse engineering)。

逆向工程的過程通常耗時費力,因為應用程式在開發的時候所包含的所有資訊,一部分在編譯和發佈的時候就會被剔除,因此增加逆向工程師理解程式運行邏輯的難度。

更何況應用程式的資訊安全有多種面向,例如《OWASP Mobile Application Security Verification Standard》裡面就包含了八大項。或是台灣自己的行動應用資安聯盟訂立的標準

因此在短時間內,不太可能收集到完整的證據去指出一個應用程式是否安全。更何況每個人對安全的定義還不一樣。

所以我其實不知道 ClubHouse 到底安不安全,因為研究就還沒有結論。

妄下結論

現階段(2021/2/14)的資料並不能對 ClubHouse 的安全性蓋棺論定。現階段我們能做的,是就已公開的資料去評估可信度和他對我們個人資訊安全的影響。換句話說,我並不認為現階段的資料足以支持讓資安專家作出通用的建議,但如果個人硬要去考慮到底要不要用它,可以從現有的資料中就個人的狀況去評估(進行威脅建模)。

這幾年台灣很常見的狀況(網友、媒體、政府),就是把這些初步研究的資料,拿來當作是完整的證據,再下一個沒有道理的結論。舉例來說,應該有很多人聽過「抖音是中國來的軟體,資安有問題,不要用」這個說法,它其實漏洞百出:

  1. 中國來的是指他的開發人員是中國人?是指中國境內還是全世界不特定地點的中國國籍者?還是說他的公司註冊於中國?還是公司的投資者是中國人?
  2. 中國來的軟體資安一定有問題?
  3. 資安有問題的軟體一定不能用?

這些問題,應該如此思考:

  1. 查查維基百科就會發現抖音和 TikTok 是不同的軟體、也是不互通的平台,兩個都同屬一家公司 ByteDance ,ByteDance 總部位於中國等等。
  2. 基於 1 得知的資訊,納入威脅建模的考慮。比如說: ByteDance 的主要開發和應用團隊位於中國,基於中國的法律環境(如國家安全法),中國政府應有法律上的權力去取得 ByteDance 旗下平台的用戶資料。而我不想要讓中國政府有機會蒐集關於我的資料,因此我不用這個 app。
  3. 威脅建模也可能會導出其他結論,比如說有人可能長住中國,已經在當地另外買了手機和門號,新手機的資料和舊手機的資料不互通,所以即使 ByteDance 配合中國政府交出用戶資料他也只能收集到新手機的部分,因此是可接受的風險,並且抖音可能提供了重要的社交功能,因此總結可接受的風險和重要生活功能,結論是可以用。

ClubHouse 現在也是類似,只有證據指出 ClubHouse 使用了 Agora 的服務,而 Agora 是一間中國公司,除此之外都是未經證實的說法。目前只能就這少少的資訊去考慮要不要用 ClubHouse 而已。

如果是一般民眾對於資安不知道該如何思考就算了,偏偏台灣政府裡面也有不少人也是使用這種無腦態度做決策。比如說「台積電是護國神山,新的數位晶片身份證就是採用了台積電製造的晶片,因此絕對安全」,這說法實在跟「抖音是中國來的軟體,資安有問題,不要用」一樣無腦。對於涉及資訊安全的公共決策,應該是要基於務實的資安技術分析、威脅建模、政策研究、成本效益分析等等,而不是用上面一句話做完結論。

2020 年 4 月關於 Zoom 資安的討論也是這樣,雖然已有眾多技術證據指出 Zoom 的資安漏洞,但教育部僅以一紙簡短公文就突然禁用,只因為「有資安疑慮」就禁用,顯然沒有經過更深一層的考慮,去思考「這些資安漏洞是否真的會影響到教育使用的情境」,實際上即使 Zoom 的加密很弱,但教育情境下會透過 Zoom 傳遞的內容本來似乎就不需要高保密性,在不需要高保密性的狀況下,也應該考量軟體本身的功能和方便性可以為教育情境帶來的好處,還有禁用之後的替代品問題。

對於一個不知道安全性如何的應用程式,我也不知道如何進行威脅建模的話,我可以用嗎?

這個就是個人選擇,有點像新出的未核准的藥物要給你加入實驗來試用,你要不要用?

以資訊安全領域來說,我自己是不會用啦,可以先等等讓別人去當白老鼠,不用這個 app 也不會死。但如果是藥物的話,考量就有可能不一樣了。

如果非用不可的話,我會買另一隻手機、註冊另一個電話號碼來用這個 app。沒錢買第二隻手機怎麼辦?沒有付出就別想要有安全啦。

免費、安全、好用三者難以同時存在,只有少數自由開源軟體是例外。

改變資安文化

台灣偶爾會有媒體把食品送到檢驗機構看看安不安全,我覺得對應用程式也應該要做類似的事情,像上述的行動應用資安聯盟應該有能力做。

廠商應該要更清楚地說明他們收集的個資、所做的安全防護、盈利模式,甚至是資安稽核報告。

使用者應該貨比三家,比較產品的功能之外,也比較產品的隱私和安全性,還有隱私政策和使用條款,而且不要只相信廠商講的,也要看獨立的資安研究。並且更主動地拒絕使用標示不清的產品。

政府主管機關應該要是基於專業的研究成果來做決策,而不是在事實不明朗的狀況下就以自己的偏好做決策,還沾沾自喜覺得超前部署。主管機關(甚至消費者保護機構也是)也應該要投注資源鼓勵更多研究。

更新

後來才看到,Stanford Internet Observatory 2/12 發佈了一篇談 ClubHouse 資安的文章,額外確認了幾項技術事實。不過仍有眾多關鍵問題尚未解答,例如:

  1. ClubHouse 傳送語音時是否有經過加密?若有,它使用的加密法是否安全?
  2. ClubHouse 是否、如何收集使用者和裝置的資料,這些資料收集侵犯隱私的程度有多大?
  3. ClubHouse 聊天室的音訊資料是否儲存在中國境內的伺服器?
  4. ClubHouse 的使用者認證機制為何?是否安全?

這些問題還有待更多研究投入去解答。

更新二

One thought on “ClubHouse 到底安不安全?需要先問幾個問題

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s