Ses tabanlı sosyal medya platformu Clubhouse son zamanların en sık gündeme gelen uygulamaları arasında yer alıyor. İlk başta iPhone kullanıcıları için devreye giren ve Android versiyonu için de hazırlıklarının sürdüğü açıklanan uygulama daha yolun başındayken çeşitli güvenlik eleştirilerine de maruz kaldı.
Yaklaşık 600 bin kayıtlı kullanıcısı olan uygulama, Elon Musk’ın kısa süre önce bir sohbete katılmasının ardından çok kısa sürede 300 binden 600 bin kullanıcıya ulaşmıştı. Bu hızlı gelişim uygulamayı geliştirenler için yüzleri güldürse de Cybersecurity Insiders’ın haberine göre her şey bu kadar toz pembe değil. Habere göre Grigory Klyushnikov isimli Çinli bir geliştiricinin Github’da yayınladığı açık kaynaklı bir uygulama Clubhouse üzerindeki konuşmaların dinlenmesini sağlıyor.
Popüler olmaya başladığı andan itibaren ses kaydı ve bununla bağlantılı biyometrik izlerin toplanabileceği iddialarıyla karşılaşan Clubhouse, gelen eleştirileri kullanıcılarına güvenli bir şekilde sohbet etmeleri için tüm güvenlik önlemlerini sağladığını söyleyerek yanıtlıyor.
Çinli girişim Agora.ai tarafından sunulan teknoloji üzerinde çalıştığı belirtilen Clubhouse’un hızlı yükselişini ne derece sekteye uğratacağı merak konusu. Bu teknoloji Bunch, Hallo, LiveLike, Pragli, Talkspace ve Welcome gibi servisler tarafından da kullanılıyor. Clubhouse’un hızı ne kadar yavaşlar şimdiden bir şey söylemek mümkün değil ama her halükarda uygulamanın Android versiyonunun biraz daha gecikmesi pek sürpriz olmayacağa benziyor.
Stanford Üniversitesi’nden Clubhouse analizi
Clubhouse ve potansiyel güvenlik açıkları hakkında bir analiz yayınlayan Stanford Üniversitesi, The Stanford Internet Observatory (SIO) isimli birimiyle Clubhouse ve Agora.io arasındaki bağlantının kanıtlarına ulaştığını açıkladı. Agora’nın Clubhouse uygulamasına arka uç altyapısı sağladığını kanıtlayan kurum, Clubhouse hakkında hem teknik hem de politik bir analiz gerçekleştirmiş.
SIO, bir kullanıcıların benzersiz Clubhouse kimlik numarasının ve sohbet odası kimliğinin düz metin olarak iletildiğini ve Agora’nın büyük olasılıkla kullanıcıların işlenmemiş sesine erişebileceğine dikkat çekiyor. Bu bilgilerin potansiyel olarak Çin yönetiminin erişebileceği bir noktada olduğunu dile getiren Stanford, bir örnekte oda meta verilerinin iletildiği ve Çin’de barındırıldığına inandıkları sunucular olduğunu ve yine Çinli kuruluşlar tarafından yönetilen ve Anycast aracılığıyla dünya genelindeki sunuculara dağıtılan ses kayıtlarından söz ediyor.
Stanford’un analizinde Clubhouse – Agora arasındaki bağlantıyı nasıl tespit ettikleri, bu bağlantının neden önemli olduğu, Çin yönetiminin Clubhouse tarafından depolanan ses kayıtlarına erişip erişemeyebileceği, yine Çin yönetiminin bu kayıtlar nedeniyle kullanıcılar üzerinde bir baskı kurup kurmayacağı gibi başlıklar yer alıyor. Her başlığın tüm detaylarıyla ele alındığı analizde Çin hükümetinin uygulamayı neden yasakladığına dair görüşler de paylaşılıyor.
Agora ABD’de kurulu ama Çin siber güvenlik yasalarına tabi
Stanford Üniversitesi’nin analizinde Agora’nın ABD ve Çin’deki merkezlerine değinilerek Çin’deki siber güvenlik yasalarına tabi olduğuna dikkat çekiliyor. Şirketin, ABD Menkul Kıymetler ve Borsa Komisyonu’na yaptığı bir başvuruda, “Çin yasalarına uygun olarak, Çin hükümeti sesli bir mesajın ulusal güvenliği tehlikeye attığını tespit ederse, Agora, hükümete bu mesajı bulması ve saklaması için yasal olarak yardım edecektir.” ifadesi bulunuyor. Stanford analizinde Uygur bölgesindeki kamplar ya da Hong Kong’daki protestolara dair konuşmaların hükümet tarafından suç unsuru olarak kabul edilebileceğine dikkat çekiliyor.
Bununla birlikte Agora, ağ kalitesini izlemek ve müşterileri faturalandırmak dışında kullanıcıların sesini ya da meta verilerini depolamadığını ifade ediyor. Analizde, bu durumun doğru olması halinde Çin hükümetinin yasal olarak kullanıcı verilerini talep edemeyeceğine işaret edilirken, diğer yandan Çin yönetiminin teorik olarak Agora’nın kullandığı ağlara erişerek bu verileri kaydedebileceği de vurgulanıyor.
SIO uzmanları, kullanıcı verilerine erişim potansiyeline sahip olmanın gerçekte ona erişmekle aynı olmadığını da belirterek Çin hükümetini, ABD hükümeti gibi hantal bir bürokrasi olarak tanımlıyor.
Çin hükümeti Clubhouse’ın depoladığı seslere erişebilir mi?
Clubhouse Gizlilik Politikası’nın detaylarına inilen analizde, terörist hedefler, nefret söylemi, küçük yaştaki kullanıcılardan bilgi toplama vb. sebeplerle yürütülen güvenlik soruşturmalarında sesin geçici olarak kaydedilebileceğinin belirtildiği ifade ediliyor. Bununla birlikte bu geçici kavramının net bir süreyi ifade etmediğine dikkat çekiliyor ve birkaç dakika ya da birkaç yıl anlamına gelebileceğinin altı çiziliyor.
Çin, ABD’den kayıtları isterse…
Analizde dikkat çekilen noktalardan biri de uluslararası anlaşmalar. Clubhouse’taki kayıtların ABD’de depolanması durumunda Çin yönetiminin bu verileri ABD – Çin Karşılıklı Yasal Yardım Anlaşması (MLAA) kapsamında aktarmasının isteyebileceği belirtiliyor. Bunnla birlikte bu talebin MLAA’nın izin veren hükümleri nedeniyle büyük ihtimalle karşılıksız kalacağına değinilirken siyasi açıdan hassas konuşmaları içeren taleplerin kullanıcıların ifade özgürlüğü ya da insan haklarını ihlal edebileceği türden sebeplerle geri çevrileceği belirtiliyor.
Ses kaydı talebi için uluslararası anlaşmalar devreye girebilir!..
Çin yönetimi uygulamayı neden yasakladı?
Stanford analizindeki alt başlıklardan biri de uygulamanın Çin yönetimi tarafından neden yasaklandığı. Çin’in bu tip durumlarda ucu açık politikalar izlemeyi tercih ettiği belirtilen yorumda, bu sayede istenmeyen içerikler söz konusu olduğunda kendine esneklik sağladığı ifade ediliyor. Hükümetin yasaklamalara dair sebepleri açıklamada çok istekli olmadığı değinilirken, Çin yönetiminin görüşlerini yansıtmasıyla tanınan Global Times gazetesinin Clubhouse’a dair sert bir başyazı yayınladığına da dikkat çekiliyor.
Yasak neden gecikmeli geldi sorusuna dair varsayımlar da analizde kendine yer buluyor. Gösterilen sebepler arasında Çin’in uzun yeni yıl tatili, Çin bürokrasinin hantal yapısı nedeniyle büyük güvenlik duvarına zamanında eklenememesi ve Çin yönetiminin potansiyel şüpheliler hakkında bilgi toplamaya öncelik vermiş olabileceği listeleniyor.
Yeni bir Huawei vakasıyla karşılaşır mıyız?
Açıkçası bu durum için net bir yorum yapmak şu aşamada pek mümkün görünmüyor. ABD – Çin arasındaki ticaret savaşının ön cephesinde Huawei’nin ağ yönetimi cihazları ve bu cihazlar üzerinden veri toplanabileceği vardı. Clubhouse, henüz 600 binlik kullanıcı sayısıyla risk potansiyeli daha düşük olarak sınıflandırılıyor olabilir. Sonuç olarak Clubhouse üzerindeki siyasi yayınların yoğunluğunun ana faktör olacağını söylemek mümkün.
Manşet görseli Elena Cryst tarafından hazırlanmıştır. Yazıda Stanford Üniversitesi’ne referans verilen analizin yer aldığı sayfada kullanılmıştır.