На прошлой неделе в аудиочате Clubhouse прошли активные дебаты на мандаринском языке среди пользователей IOS с материкового Китая. Это случилось прежде, чем приложение резко заблокировала онлайн-цензура страны (08 февраля 2021 года).
Помимо непринужденных разговоров о путешествиях и здоровье, пользователи откровенно обсуждали концентрационные лагеря уйгуров в Синьцзяне, протесты на площади Тяньаньмэнь в 1989 году и личный опыт допросов полицией. Китайское правительство ограничивает обсуждение этих тем, поддерживая «Великий Брандмауэр», чтобы блокировать доступ внутренней аудитории ко многим иностранным приложениям и веб-сайтам. Хотя ещё в начале февраля Clubhouse не был заблокирован фаерволом, некоторые пользователи с материка беспокоились, что правительство может прослушать разговор, что приведёт к репрессиям.
В последние годы китайское правительство во главе с председателем Си Цзиньпином проявляет всё большую готовность преследовать своих граждан за критические высказывания в адрес режима, даже когда эти выступления блокируются в Китае. Аудиосообщения приложения Clubhouse, в отличие от записей в Twitter, не оставляют никаких публичных записей после того, как происходит диалог, что в теории усложняет усилия китайского правительства по мониторингу.
SIO подтвердила, что Agora, Шанхайский поставщик ПО для взаимодействия пользователей в реальном времени, поставляет серверную инфраструктуру для платформы Clubhouse. Эта связь и ранее широко подозревалась, но публично не подтверждалась. Кроме того, SIO определила, что уникальный идентификационный клубный номер пользователя и идентификатор чата передаются в виде открытого текста, и Agora, скорее всего, будет иметь доступ к необработанному аудио пользователей, потенциально обеспечивая тем самым доступ китайскому правительству. По крайней мере в одном из случаев SIO наблюдал, как метаданные комнаты ретранслируются на серверы, которые, вероятно, размещены в КНР. Также в теории можно связать идентификаторы Clubhouse с профилями пользователей.
SIO решила раскрыть эти проблемы безопасности потому, что они относительно легко раскрываются. Но главное – они представляют непосредственную угрозу безопасности для миллионов пользователей Clubhouse, особенно в Китае. В процессе проверки обнаружились и другие недостатки безопасности, которые были конфиденциально переданы разработчикам платформы. Их публично раскроют, когда они будут исправлены или после истечения установленного нами крайнего срока.
Что такое Agora?
Agora – это Шанхайский стартап со штаб-квартирой в США в Кремниевой долине, который продаёт платформу «голосового и видео взаимодействия в реальном времени» для других компаний-разработчиков ПО. Другими словами, он предоставляет готовую структуру, чтобы другие приложения, такие как Clubhouse, могли сосредоточится на дизайне интерфейса, конкретных функциях и общем пользовательском опыте. Если приложение работает на инфраструктуре Agora, конечный пользователь может об этом и не догадываться.
Откуда мы знаем, что он обеспечивает поддержку Clubhouse?
Аналитики SIO наблюдали за веб-трафиком Clubhouse с помощью общедоступных инструментов сетевого анализа, таких как Wireshark. Наш анализ показал, что исходящий веб-трафик направляется на серверы, управляемые компанией Agora, в том числе “qos-america.agoralab.co”. Присоединение к каналу, например, генерирует пакет, направленный на внутреннюю инфраструктуру Agora. Этот пакет содержит метаданные о каждом пользователе, включая их уникальный идентификационный номер клуба и идентификатор комнаты, в которую они вступают.
Эти метаданные передаются через интернет в виде открытого текста (не зашифрованного), что означает, что любая третья сторона, имеющая доступ к сетевому трафику пользователя, может получить к ним доступ. Таким образом, подслушивающий может узнать, разговаривают ли 2 пользователя друг с другом, обнаружив, что эти пользователи подключаются к одному и тому же каналу.
Анализ документации платформы Agora также показывает, что компания, скорее всего, будет иметь доступ к необработанному аудиотрафику Clubhouse. Если Clubhouse не использует технологию сквозного шифрования (Е2ЕЕ), передаваемый звук может быть перехвачен, расшифрован и иным образом сохранен Agora.
Почему это играет важную роль?
Поскольку Agora базируется совместно в США и Китае, она попадает под действие закона КНР о кибербезопасности. В заявлении, поданном в комиссию по ценным бумагам и биржам США, компания признала, что она будет обязана «оказывать помощь и поддержку в соответствии с законодательством КНР», включая защиту национальной безопасности и уголовные расследования. Поэтому если китайское правительство определит, что аудиосообщение угрожает национальной безопасности, платформа будет юридически обязана помочь правительству в его обнаружении и хранении.
Разговоры о протестах на площади Тяньаньмэнь, лагерях Синьцзяна или протестах в Гонконге могут квалифицироваться как преступная деятельность. Как это было раньше.
Но Agora утверждает, что не занимается хранением пользовательских аудио или метаданных. В их задачу входит мониторинг качества сети и выставление счетов своим клиентам. Если это правда, то китайское правительство не сможет легально запрашивать данные пользователей ибо их у платформы просто нет. Или КНР теоретически могло прослушивать и записывать данные самостоятельно, если Agora искажает свои методы хранения данных. (Huawei, крупная китайская софтверная компания, имеющая тесные связи с военными силами страны, также заявляет, что не передает данные правительству. В чем многие эксперты сомневаются.)
Кроме того, любые незашифрованные данные. которые передаются через сервера КНР, скорее всего и так будут доступны китайскому правительству. Поэтому доступ к сетям Agora может быть вовсе необязателен.
Отсюда следует, что материковые китайские пользователи Clubhouse потенциально могут оказаться в опасности. Но важно иметь в виду, что теоретический доступ к пользовательским данным не равно фактическому доступу к ним. Китайское правительство – это большая и иногда громоздкая бюрократия, как и правительство США.
Можно ли получить доступ к аудио, хранящемуся в Clubhouse?
Кратко: вероятно, нет, пока аудио хранится в США.
Политика конфиденциальности Clubhouse гласит, что пользовательское аудио будет «временно» записано с целью расследования доверия и безопасности (например, террористической угрозы, вымогательство личной информации у несовершеннолетних и т.д.). После проверки платформа обещает удалить сохранённое аудио. Но в политике не указывается срок «временного» хранения. Временное может означать и несколько минут, и несколько лет. Также политика конфиденциальности не включает Agora или любые другие китайские организации в качестве третьих лиц для хранения данных.
Если Clubhouse хранит эту запись в США, китайское правительство может попросить правительство США заставить Clubhouse передать данные в соответствии с соглашением о взаимной правовой помощи между США и Китаем. Но этот запрос, скорее всего, не будет удовлетворен из-за положений данного соглашения, позволяющих Соединённым Штатам отклонять запросы, которые нарушают свободу слова пользователей или права человека.
Есть ли вероятность, что материковые пользователи столкнуться с репрессиями за общение в Clubhouse?
Для того, чтобы китайское правительство наказало пользователей платформы, которые посещали или говорили в конфиденциальных чатах, нужно по крайней мере 2 условия:
Узнать какие пользователи присутствуют в каких чатах. Это, как уже говорилось, можно сделать через Agora или вручную. Для ручного сбора данных кто-то в комнате должен был записывать профили всех, кто там находится.
Нужно реальное желание наказать пользователей. А есть ли это желание пока что неясно. Китайское правительство иногда может быть терпимо к публичной критике, когда она не получает широкого распространения и не способствует коллективным действиям. Поскольку приложение доступно только для приглашённых и для владельцев сравнительно дорогих iPhone (менее 10% всех китайских пользователей), оно, вероятно, не было широко использовано за пределами городской элиты Китая.
Почему Clubhouse запретили в Китае именно сейчас?
Большинство материковых пользователей платформы наряду с иностранными журналистами и аналитиками ожидали, что приложение в конечном итоге будет запрещено. Самым насущным был вопрос - когда? Три фактора поспособствовали срокам запрета:
Правительственных цензоров не было в офисе когда Clubhouse стал вирусным. Исследования показывают, что цензура падает по выходным и китайским праздникам, а всплеск активности пришелся как раз на это время.
Правительство хотело собрать информацию о своих гражданах. Поскольку граждане боятся репрессий, они лгут о своих истинных политических взглядах.
Запрет приложения требует времени. Решение о запрете возможно было задержано из-за простой бюрократической волокиты.
Но всё это лишь предположения. Ответ может оказаться ни одним из пунктов вышеперечисленного.
Технический анализ приложения
Согласно документации Agora, аудио ретранслируется через платформу с использованием их стандартного набора разработки real time communication (RTC), standard development kit (SDK). Подумайте об этом как о старом сетевом операторе: чтобы связаться с другим человеком, оператор должен соединить двух пользователей. В этом случае Clubhouse – это телефон двух пользователей, а Agora – оператор.
Когда пользователь присоединяется или создаёт чат в Clubhouse, приложение делает запрос через безопасный HTTP (HTTPS) к инфраструктуре Angora. Чтобы сделать запрос, телефон связывается с интерфейсом прикладного программирования Clubhouse, или “API”. Телефон отправляет запрос [ POST / api / create_channel ] API Clubhouse. API возвращает токен полей и rtm_token , где токен – это токен Agora RTC, а rtm_token - токен RTM (обмен сообщениями в реальном времени). Эти «токены» затем используются для установления пути связи для последующего обмена аудио трафиком между пользователями.
Затем SIO наблюдала, как телефон пользователя отправляет пакеты данных через UDP (более легкий механизм передачи) на сервер под названием qos-america.agoralab.co. Пакеты пользователя содержат в незашифрованном виде метаданные о канале, например, запросил ли пользователь присоединение к чату, идентификационный номер клуба пользователя и отключил ли он себя.
После того, как пользователь получил токен RTC от Clubhouse, его телефон использует токен для аутентификации в Agora, так что зашифрованный звук чата может быть передан непосредственно в Agora через взаимно подтвержденный канал. Согласно документации, Agora будет иметь доступ к ключам шифрования. Хотя в документации не указано, какой вид шифрования используется, скорее всего, это симметричное шифрование по UDP.
Единственный способ, при котором у Agora не будет доступа к необработанному аудио пользователя – это если Clubhouse использует сквозное шифрование (E2EE) с использованием индивидуального метода шифрования. Хотя это теоретически возможно, для этого потребуется, чтобы Clubhouse раздал открытые ключи всем пользователям. Этого ещё не существует. Таким образом, E2EE крайне маловероятен.
