Clubhouseのリバースエンジニアリング競争で高まるセキュリティ上の懸念

ライブオーディオアプリClubhouse(クラブハウス)の人気が世界中で高まるにつれ、同アプリのデータ運用に関する懸念も増大している。

Clubhouseは現在iOSでのみ利用可能で、一部のデベロッパーは競ってAndroid版、Windows版、Mac版を開発しようとしている。こうした努力は悪意あるものではないだろうが、プログラマーがリバースエンジニアリングをし、オリジナルのコードに基づいて新たなソフトウェアを作成するのに困らないという事実は、同アプリのセキュリティに関し警報を発している。

こうした非公式のアプリの共通目的は、現在のところClubhouseオーディオフィードを、iPhoneを持っていないためにアプリにアクセスできなユーザーにリアルタイムにブロードキャストすることだ。そうした取り組みの1例がOpen Clubhouseで、自らを「Clubhouseの音声を再生するためのフラスクベースのサードパーティーウェブアプリケーション」と謳っている。デベロッパーは、サービス立ち上げから5日後にClubhouseが説明なしにブロックしたことをTechCrunchに認めた。

「(Clubhouseは)ユーザーに多くの情報を求め、それらデータを分析し、乱用さえしました。一方でClubhouseは人々がどのようにアプリを使うかを制限し、ユーザーが本来持つべき権利を与えていません。私からすれば、これは独占と搾取です」。AiXというニックネームのOpen Clubhouseのデベロッパーはこう話した。

この件についてClubhouseに連絡を取ったが、すぐにコメントは得られなかった。

AiXは「楽しみのため」にプログラムを書き、より多くの人がClubhouseにアクセスできるようにしたかった。「Zhuowei Zhang」という名前のデベロッパーも同様のことをした。同氏は招待されていない人がルームやユーザーをブラウズできるようにし、招待されている人が発言はできなくてもリスナーとしてルームに参加できるようにするHipster Houseを作った。Clubhouseは現在のところ招待制だ。ただ、Zhang氏はより良い選択肢に気づき、プロジェクトの開発を中止した

悪意がないにもかかわらず、こうしたサードパーティーのサービスは監視目的で悪用され得ると、リバースエンジニアリングを通じて人気アプリが近く公開する予定の機能を見つけることで知られている研究者Jane Manchun Wong(ジェーン・マンチュン・ウォン)氏はツイートの中で指摘している

同氏はClubhouseの公開roomからのオーディオデータを再ルーティングしているウェブサイトに言及し、「ウェブページの意図が非iOSユーザーにClubhouseを提供することだとしても、セーフガードがなければ、悪用される恐れがあります」と指摘した。

Clubhouseは、ユーザーが公開チャットルームを作れるようにしている。roomが最大収容人数に達するまであらゆるユーザーが参加できるというもので、一方のプライベートroomはホストとホストに承認されたユーザーのみがアクセスできる。

しかしすべてのユーザーがClubhouseの公開ルームの開けっ広げの性質を認識しているわけではない。中国で利用が可能だった短い期間に、Clubhouseは台湾から新疆ウイグル自治区に至るまで政治的にセンシティブな問題の議論で溢れた。こうした話題は中国のネット上では厳しく検閲されている。一部の用心深い中国人ユーザーはセンシティブな発言を理由に警察の職質を受ける可能性について考えをめぐらせた。そうした事態は公には報告されていないが、中国当局は2月8日からClubhouseを禁止している

関連記事:中国で人気が出すぎたClubhouseがつかの間の検閲回避を経て利用禁止に

Clubhouseのデザインは、達成しようと目指しているコミュニケーションの状態と本質的に対立している。Clubhouseはユーザーに、本当のIDを使うよう推奨している。登録するには電話番号と既存ユーザーの招待が必要だ。ルーム内では、参加者を誰でも確認できる。こうしたセットアップはユーザーがネットワーキングイベントで話しているように語るとき、信頼と快適さをユーザーに植えつける。

しかしClubhouseのオーディオフィードを抽出することができるサードパーティのアプリは、アプリが半公開ですらなく、完全に公開されていることを示している。

さらに厄介なのは、デベロッパーのZerforschungが発見したようにユーザーが「ゴースト視聴」できることだ。つまり、ユーザーはroomの参加者に自らのプロフィールを表示することなくroomの会話を聴くことができる。Clubhouseが雇っているサービスプロバイダーAgoraと直接コミュニケーションを確立することで盗聴が可能となっている。複数のセキュリティ研究者が発見したように、ClubhouseはAgoraのリアルタイムオーディオコミュニケーションのテクノロジーに頼っている。情報筋はまたTechCrunchに提携を認めた

関連記事:Clubhouseと中国、ライバルアプリや生まれつつあるクローンそして政府による情報管理

ここで少しテクニカルな説明が必要だろう。Stanford Internet Observatoryが発見したように、ユーザーがClubhouseでチャットルームに参加するときにAgoraのインフラにリクエストが送られる。リクエストでは、ユーザーの電話番号はClubhouseのアプリケーションプログラミングインターフェース(API)にコントタクトし、その後「トークン」を作る。アプリのオーディオトラフィックのためのコミュニケーション通路を確立するための、アクションを認証するプログラミングの構成単位だ。

テクノロジーアナリストDaniel Sinclair(ダニエル・シンクレア)氏が指摘したように、そこにある問題はClubhouseとAgoraの間が切断状態になり、オーディオデータを送信するAgoraエンドがアクティブな間に、ユーザーのプロフィールを管理しているClubhouseエンドが動かなくなるというものだ。だからこそユーザーはプロフィールをroom参加者に示すことなくroomを盗聴できる。

Agoraとの提携は他の心配のタネにもなっている。主に米国と中国から運営しているAgoraは、IPO目論見書にデータが中国のサイバーセキュリティ法の対象となるかもしれないと記した。同法律では、中国で事業展開するネットワークオペレーターに警察の捜査に協力するよう求めている。Stanford Internet Observatoryが指摘しているように、Clubhouseがデータを中国に保存しているかどうか、その可能性は不確かだ。

ClubhouseのAPIが中国で禁止された一方で、AgoraのAPIはブロックされていないようだ。TechCrunchによるテストでは、ユーザーは現在ルームに参加するにはVPNが必要で、これはClubhouseによる措置のようだが、VPNオフでもルームの会話を聴くことができる。こちらはAgoraによるものだ。公式には存在すべきではないことを踏まえると、中国のユーザーがClubhouseアプリにアクセスする最も安全な方法はどういうものだろうか。中国政府が禁止する前からClubhouseは中国のApp Storeでは利用できず、中国のユーザーは回避策を通じてアプリをダウンロードしていた。

Clubhouseチームはここ数日、データに関する疑問でてんてこまいかもしれない。しかし研究者やハッカーらによるこうした初期観察によりClubhouseはすぐに脆弱性を修正し、数百万人のユーザー以上の成長と評価額10億ドル(約1050億円)につながるかもしれない。

カテゴリー:セキュリティ
タグ:Clubhouse

画像クレジット:Thomas Trutschel / Contributor

原文へ

(文:Rita Liao、翻訳:Nariko Mizoguchi

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。