---

[Reading Time: 10 minutes]

Non è vero che le voci di Clubhouse app vanno in Cina! Oppure… Sì?

 

Ti piacerebbe partire subito con analisi, curiosità, fatti e fattarelli eh?

Invece c’è da subire un pò di pippone come preambolo ma passa subito. Se hai perso la prima parte di questa disamina (puramente una mia ricerca personale) puoi trovarla qui: CLUBHOUSE APP: VIENI NELLA… DARK ROOM

 

La Valle del Silicone è un bel posto (in effetti lo era) ha un sacco di Università davvero quotate e ci studiano migliaia di cinesi che poi legittimamente tornano in Cina. Niente di strano, saranno almeno 6 secoli che la Cina approda sulle coste occidentali degli Stati Uniti coprendo diverse aree di business.

 

Niente di nuovo e mi pare anche assolutamente normale, tornare a casa sotto un regima comunista – si fa per dire – e mettersi a fare affari con gli USA che sono il tuo diretto e acerrimo concorrente, con il quale hai in atto una guerra di dazi che non finisce mai e ti contendi tutti i mercati globali possibili e immaginabili.

Dai, cominciamo, facciamoci del male!

 

Se parliamo di Clubhouse app dobbiamo parlare di Agora.io

 

E adesso che cos’è Agora.io?

 

In estrema sintesi Agora.io mira a semplificare la distribuzione di comunicazioni audio in tempo reale in app e siti Web utilizzando le API. Si tratta di sapere che solo nel 2020, Agora.io ha amministrato circa 40 MILARDI DI MINUTI di file audio in diretta… al mese! 

 

Agora.io distribuisce un Software Development Kit (SDK) che agevola il processo e il cliente è libero di creare la propria interfaccia. Quindi Agora.io, con il medesimo software, amministra e distribuisce miliardi di file audio di diverse aziende contemporaneamente.

 

Agora.io distribuisce i propri prodotti in oltre 100 paesi nel mondo e avendo due sedi, una a Shanghai e l’altra a Santa Clara, in California (Agora Inc.), è stata sotto i riflettori nelle ultime settimane per un buzz selvaggio che si è diffuso fino al Nasdaq, dopo che è stata data la notizia che fosse fornitore di servizi di comunicazione back-end abbastanza critici e in tempo reale, per la famosa Clubhouse App.

 

Nel caso di Clubhouse app possiamo dire che: Se l’account Clubhouse app di ogni utente è metaforicamente IL TELEFONO, Agora.io è L’OPERATORE che li mette in contatto. Naturalmente ogni utente ha un ID e anche ogni “stanza” ha un ID. Quindi si tratta di consentire a due (ipotetici) utenti identificabili, di mettersi in contatto all’interno di una room riconoscibile.

 

A questo punto scatta il colpo di scena.

 

Tony Wang, cofondatore e capo di Agora.io Area Asia-Pacifico e dei mercati emergenti dichiara:

“Agora.io è solo un “passaggio”. Non memorizziamo alcun dato dell’utente finale e i nostri clienti in genere crittografano i dati degli utenti.” aggiunge clamorosamente: “Ma a livello di informazioni per quanto riguarda gli utenti, non ne siamo consapevoli”.

 

Ovviamente né Clubhouse App né Agora,io hanno mai confermato la loro relazione e Wang ha rifiutato di commentare Clubhouse app. Tuttavia, i cosiddetti “insider” ossia, persone che lavorano all’interno dell’azienda e che hanno familiarità con la questione, hanno confermato che Clubhouse utilizza i servizi di Agora.io.

 

Qual è la relazione tra Clubhouse app e Agora.io?

 

Si è verificato un episodio abbastanza curioso: Immediatamente a ridosso del lancio di Clubhouse app, i titoli di Agora.io hanno avuto un repentino balzo verso l’alto del 30% appena si è saputo che Clubhouse app usa i servizi real-time audio di Agora.io.

 

 

Il salto è stato clamorosamente coincidente con il giorno in cui Elon Musk è entrato nella stanza predisposta in Clubhouse app, per conversare con Vlad Tenev, CEO della compagnia di online brokerage Robinhood che a sua volta era appena coinvolta nella faccenda del blocco del trading nei riguardi di GameStop.

 

La posizione di Agora.io però è assai delicata perchè è stata allertata che le autorità cinesi, potrebbero chiedere di fornire i dati in suo possesso per ragioni di sicurezza nazionale e prevenzione del crimine. In effetti Pechino, non chiede il permesso, se e quando vuole accede ai dati che gli servono e non c’è modo di opporsi.

 

Immediatamente dopo questa “segnalazione” Clubhouse app è stata bloccata in Cina. Naturalmente le omologhe cinesi invece restano attive e le più famose sono Two, Dizhua, Yalla, e Tiya.

 

Naturalmente l’accusa dei legislatori americani è che il software di Agora.io apre delle backdoor in Clubhouse app a vantaggio del governo cinese, una dinamica molto simile a quella per la quale fu accusata Huawei.

 

La relazione con Clubhouse app era già stata annunciata dall’angel investor Justin Caldbeck via Twitter e dall’investitore di Saga Partners Richard Chu che lo ha ripetuto nella sua newsletter quando ha affermato che stava investendo nella società.

 

Del resto Agora.io facendo agire la sua sussidiaria Agora Inc. ha fatto in modo che il suo Software Development Kit fosse messo a disposizione di Clubhouse app.

 

Nel 2020, con molte persone bloccate a casa durante la pandemia di Covid-19, la domanda di servizi di comunicazione in tempo reale è salita alle stelle, specialmente nel settore dell’istruzione con il boom dell’apprendimento a distanza.

 

Agora.io affermava che la loro tecnologia avrebbe potuto consentire ai partner nel settore dell’istruzione, di ospitare lezioni online con decine di migliaia di studenti in una singola sessione.

 

Questa affermazione è la stessa che viene fatta velatamente filtrare da Clubhouse app tramite una breve nota all’interno della Privacy Policy dove c’è un’intera sezione che fa riferimento al trattamento dei dati in caso di uso scolastico.

 

[Se volete trovarla al volo, consiglio di aprire il link e usare la funzione del browser “FIND” digitando la keyword: SCHOOL]

 

Chiaramente un’inaspettata coincidenza.

 

Un pò di fatti caldi, caldi

 

Dopo che gli insider hanno dichiarato che Clubhouse app era collegata a Agora.io/Agora Inc. alcuni tecnici hanno decompilato il codice dell’app e si sono accorti che in diverse parti è riportato il nome di Agora nelle stringhe di codice. In più i due fondatori Paul Davison e Rohan Seth, hanno ammesso in una conversazione privata che usano la tecnologia di Agora.io ma che non lo dichiareranno mai pubblicamente.

 

In un esperimento recente, un ingegnere informatico tedesco Andreas Lehr ha riferito a Bloomberg News che analizzando il traffico in uscita dal suo telefono, mentre era connesso e mentre usava Clubhouse app notava diversi pacchetti di dati che venivano indirizzati verso Agora.io.

 

Da un punto di vista tecnico, risulta che Agora.io acquisisce i dati vocali in tempo reale (raw data) e aiuta Clubhouse app a trasmetterli. Dichiara che non sia possibile identificarli incrociandoli con il numero di telefono dei singoli utenti perchè “pare” che Clubhouse riesca a garantire la privacy degli utenti.

 

Resta comunque il dilemma delle rubriche di ogni singolo iPhone alle quali l’app ha accesso e ne condivide i dettagli.

 

Sempre sotto il profilo tecnico e teorico, appare possibile che se volesse, il governo cinese potrebbe effettuare l’associazione dei file vocali presi in tempo reale da Agora.io con ID reali di ogni singolo device dell’utente e risalire al relativo numero di telefono.

 

Operando con sistemi di Facial Recognition sui singoli account, riuscirebbe perfettamente a mettere in match questi dati, identificando la persona. Nel caso della RPC è sempre meglio evitare un “invito a prendere il tè”

 

A questo punto, dopo che Clubhouse app è stata bloccata in Cina – 8 Febbraio 2021 – , in quanto un alto numero di utenti ha avuto accesso e preso parte a discussioni su argomenti sensibili che includevano questioni delicate come i campi di detenzione dello Xinjiang e la legge sulla sicurezza nazionale di Hong Kong, si è innescato il timore di sorveglianza da parte del governo.

 

Dopo che Clubhouse app è stata sottoposta a grandi pressioni in termini di Privacy da parte della The Cyberspace Administration of China è stata richiesta una perizia da parte di un gruppo di ricerca, il The Stanford Internet Observatory, che ha certificato e confermato la potenziale vulnerabilità dei dati in possesso di Agora.io, nei confronti del governo cinese.

 

Un portavoce di Agora.io si è difeso dicendo che la società non ha accesso o memorizza dati personali e non convoglia verso la Cina, il traffico vocale generato da utenti al di fuori della Cina stessa, inclusi gli utenti statunitensi. Agora.io fornisce il software che consente ai clienti di “costruire la propria infrastruttura di sicurezza e privacy in modo conforme e pertinente per i propri utenti finali”.

 

Purtroppo la perizia del The Stanford Internet Observatory ha trovato diversi problemi

 

Il ragionamento è parecchio tecnico ma provo a riassumerlo in pochi punti per fare in modo che si possa capire in sintesi e poi, troverete il link diretto alla perizia del SIO.

Il centro dell’analisi è: I dati che vengono raccolti da Clubhouse app e veicolati tramite Agora.io/Agora Inc. sono al sicuro? Sono al sicuro anche in Cina?

 

PREMESSA: Come gli Stati Uniti (ricordate Edward Snowden?) anche la Cina ha la possibilità di intercettare tutto il traffico web che gli interessa, senza chiedere il permesso a nessuno per cui la domanda sopra menzionata e l’eventuale risposta si annullano a vicenda. A dire il vero i limiti sono più di ordine burocratico che tecnico.

 

La Cina, con il protocollo “The Great Firewall” opera un controllo totale sulla tipologia di contenuto che rende disponibile via internet per uso “domestico” e in particolare a cittadini della Cina continentale. Quindi niente è effettivamente “libero”. Questo protocollo titanico e mastodontico ha solo un difetto:

È lento.

 

Preso coscienza di questo fatto vediamo quali sono i punti che il SIO ha registrato come critici:

• Il SIO conferma che Agora.io offre servizi di back-end per Clubhouse app

 

• L’analisi del SIO ha rivelato che il traffico web in uscita è diretto ai server gestiti da Agora, incluso ” qos-america.agoralab.co “. L’adesione a una stanza, ad esempio, genera un pacchetto diretto all’infrastruttura back-end di Agora. Questo pacchetto di dati contiene metadati su ogni utente, incluso il numero ID univoco di Clubhouse e l’ID della stanza a cui si sta unendo. Tali metadati vengono inviati su Internet in testo normale (non crittografato), il che significa che qualsiasi terza parte con accesso al traffico di rete di un utente può accedervi. In questo modo, un intercettatore potrebbe scoprire se due utenti stanno parlando tra loro, ad esempio, rilevando se quegli utenti si stanno unendo allo stesso stanza.

 

• Si conferma che i metadati della stanza venivano trasmessi ai server che il SIO ritiene fossero ospitati nella RPC (Repubblica Popolare Cinese) e lo stesso vale per l’audio convogliato ai server gestiti da entità cinesi e distribuiti in tutto il mondo tramite la metodologia di networking Anycast. È anche probabile che sia possibile collegare gli ID Clubhouse con i profili utente.

 

• E’ stato rivelato che Agora ha accesso al traffico audio grezzo di Clubhouse. Non essendoci nessun sistema di crittografia end-to-end (E2EE), l’audio potrebbe essere intercettato, trascritto e archiviato in altro modo da Agora. È estremamente improbabile che Clubhouse abbia implementato la crittografia E2EE.

 

• Il SIO certifica che l’unico modo affinché i dati non possano andare in mano al governo cinese è che vengano appoggiati su server americani. Al momento non c’è evidenza che i dati vengano raccolti esclusivamente da server americani. Gli Stati Uniti, vietano tassativamente la divulgazione di tali dati, sia essi aggregati che non. [E’ chiaramente un fatto puramente formale, che però almeno possiede un fondamento legale. Nel caso della RPC questo principio di legge non esiste. ndr]

 

• Il SIO ha osservato che i metadati della stanza vengono trasmessi ai server che si ritiene siano ospitati nella RPC, il governo cinese può probabilmente raccogliere i metadati senza nemmeno accedere alle reti di Agora.

 

• Il SIO certifica che solo nel caso in cui Alpha Exploration Co. (la compagnia che ha elaborato Clubhouse app), avesse un partner o una filiale in Cina con accesso ai dati, il governo cinese potrebbe pretendere l’accesso. Al momento non si evidenzia questa criticità.

 

• Secondo la documentazione di Agora , l’audio viene trasmesso tramite Agora utilizzando il loro kit di sviluppo standard (SDK) di comunicazione in tempo reale (RTC).

 

 

• SIO ha poi osservato che il telefono di un utente invia pacchetti di dati tramite UDP (un meccanismo di trasmissione più leggero) a un server chiamato `qos-america.agoralab.co`. I pacchetti dell’utente contengono metadati non crittografati, ad esempio: se un utente ha richiesto di partecipare a una chatroom, il numero ID Clubhouse dell’utente e se ha disattivato l’audio.

 

• Il SIO ha monitorato il traffico UDP relativo ad un utente che si collega alla stanza del Club dello Stanford Internet Observatory. Si rileva un sostanziale flusso di dati su server cinesi.

 

 

Clubhouse app ammette il problema di sicurezza ma minimizza sul traffico dei dati raccolti, verso servers cinesi e assicura il SIO che porranno maggiore sforzo e attenzione per risolvere il problema. Chiaramente una risposta che risulta completamente insufficiente, rispetto alla rilevanza del problema.

 

LINK alla fonte originale della perizia del SIO

https://cyber.fsi.stanford.edu/io/news/clubhouse-china

 

 

Il clone

 

Uno sviluppatore cinese ha creato una piattaforma clone di Clubhouse app come performance. Huancheng Bai ha scritto in un post sul suo blog che voleva creare un clone per comprenderne meglio il software e mostrare che non fosse così difficile da replicare.

 

Bai lo ha completato con successo entro 55 ore, meno del suo obiettivo originale di 72 ore. Ha utilizzato le API di Agora.io, la stessa tecnologia platform-as-a-service alla base di Clubhouse app. Ha trasmesso in live streaming l’intero processo di clonazione su Bilibili.

 

Bai ha chiamato il progetto NESHouse e ha reso il suo codice sorgente disponibile a chiunque fosse interessato a costruire una piattaforma in stile Clubhouse app per studiarne la logica.

“NESHouse non è un progetto commerciale, ma più un prodotto sperimentale per programmatori e fanatici”, ha twittato il 4 febbraio.

 

Ma proviamo a fare un giro diverso e vediamo se esistono relazioni finanziarie tra Clubhouse app e Agora.io

 

Direttamente, mi sento di dire che non ci sia una relazione univoca. Ma come al solito “A pensare male degli altri si fa peccato, ma spesso si indovina …” (cit. Giulio Andreotti) qualcosa c’è e voglio stimolare la vostra curiosità.

 

Nell’articolo precedente, ho fatto presente come Andreessen Horowitz avesse investito un totale di 102 milioni di dollari in Clubhouse app. Ma la conoscenza di Andreessen Horowitz e Agora.io risale a molti anni fa, parliamo del 2016 – 2017 e lo stesso vale per GGV Capital che ha già investito in Agora.io tramite una cordata di 20 milioni di dollari, nella prima fase della Series B funding del 2015 e annovera Agora.io nell’elenco delle aziende in portfolio che hanno completato l’IPO negli ultimi 15 mesi

 

Chiaramente in questo contesto è impossibile che i più attivi investitori nel digitale e le piattaforme emergenti non si conoscano, infatti li ritroviamo tutti insieme nel 2020, durante un evento organizzato dalla Agora Inc.

 

Si tratta della premier virtual conference il 13-14 Ottobre, 2020: RTE2020.

 

Agora Inc. ha partecipato tramite una piattaforma di virtual conference, che è loro cliente, chiamata Run The World leader di settore in materia di eventi online e riunisce la comunità tramite esperienze video interattive e social online. Naturalmente ha raccolto 15 milioni di dollari da Andreessen Horowitz, Founders Fund, GGV Capital, Will Smith e Kevin Hart.

 

EPILOGO

 

Fine delle formalità, mi tolgo la maschera della personcina a modino e torno quello di sempre perchè mi fa male la testa e mi sono stufato.

La regola è sempre la stessa: “Se vuoi sapere la verità, la prima cosa che devi fare è non fidarti di quello che vedi. La seconda cosa invece è sapere che la verità non la saprai mai.”

Quando poi vedo che i più potenti “INVESTORS” nel digitale sono sempre più spesso gruppi misti ISRAELO-ARABO-CINO-AMERICANI non mi piace per niente.

Non mi è mai piaciuto, sono almeno 15 anni che non mi piace e la domanda è sempre la stessa:

“Chi tradisce chi?”

 

Il fatto che i servizi segreti delle più grandi potenze mondiali continuino a fare finta di essere dei tycoon dell’imprenditoria digitale e di successo è davvero uno scenario grottesco che non fa neanche più ridere. Esistono da sempre e hanno plafont illimitati.

 

Online ci sono centinaia, migliaia di documenti che dimostrano queste connessioni e come gli investimenti di “governo” vengono messi in atto dalla notte dei tempi di internet. Le nazioni si incontrano dove vogliono e dove non si vedono, dentro fanno e fuori e “fuori” si fanno al guerra. Bel porcaio.

 

Ad ogni modo, questa parentesi non deve distrarci dalla concretezza dei fatti, veri o fasulli che siano, perchè abbiamo una vantaggio in tutto questo: Non contare una mazza e tutto andrà “come deve andare”.

 

Ma c’è un “però“:

Quando si tratta di soldi da fare con il digitale e di operare per incrementare l’Economia del Controllo, ognuno fa un pò come cazzo gli pare, le frontiere saltano, i soldi vanno dove vogliono e nessuno si oppone a niente ma in mezzo ci sono LE PERSONE.

 

Le persone, non sanno “le cose” sbattono le loro dita febbrili sulla tastiera o sul vetro dello smartphone, usando roba che non hanno inventato, subendo qualsiasi pressione pubblicitaria e sognando a occhi aperti un mondo migliore, una chiesa in cui credere, una terra promessa dove tornare che però clamorosamente non esiste.

 

Questa seconda parte finisce con lo stesso assunto della prima: “A me di Clubhouse app non me ne frega un cazzo!” Lo avevo già accennato nel primo articolo ma non è cattiveria, anzi se vi fa piacere, vi è utile e vi fa compagnia sono tutto felice.

 

Del resto gli stessi impicci stanno sotto tutte le altre app che vi fanno tanto divertire, TikTok o Zoom o quellochevvepare.

 

E con questo voglio anche aggiungere, che però non mi dovete convertire per forza e non è che mi dovete attaccare il pippone che “Se non ci sei non puoi parlare”.

Esticazzi! Posso parlare che Sì, invece!

 

Del resto non è che per scrivere di eroina me la devo fare e poi farmi anche la ròta. Magari mi basta studiare, chiedere, parlare, ascoltare e qualcosa riesco a mettere insieme.

 

Quindi fermi tutti e andiamo avanti a cercare di capire, che mentre mi fate le paternali c’è gente che fa i soldoni con le vostre voci nella notte.

La faccenda di Clubhouse app è un attimo articolata però adesso anche basta.

Tagged as: BigData / Clubhouse / Clubhouseapp / files audio / Server cinesi / Social Network