Clubhouse開房要當心 趨勢科技示警語音社羣平臺資安疑慮

趨勢科技針對語音社羣平臺提出資安示警。(趨勢科技提供/黃慧雯臺北傳真)

隨着語音社羣軟體Clubhouse近期爆紅,類似的語音社羣應用程式如Riffr、Listen、Audlist和HearMeOut近期亦成爲關注焦點。不只許多民衆名人意見領袖爭相加入這一波語音聊天熱潮駭客也同時看準此一情勢,正不斷變換各種詭詐的手法,伺機誘騙受害者上勾!網路資安解決方案廠商趨勢科技提醒,語音社羣軟體背後潛藏着衆多資安風險,包含竊聽、攔截和非法錄音等,民衆可能會在聊天過程中,不經意揭露個人資訊。對此,趨勢科技提出語音社羣軟體潛藏的六大資安風險以提醒民衆小心,同時提供民衆及開發商相關使用建議,提升安全性

【當語音社羣平臺潛藏六大資安風險】

一、藉由分析網路流量,來攔截並竊聽聊天內容:根據趨勢科技研究,駭客可透過分析網路流量的方式,攔截RTC相關封包注1以取得私人聊天室內的敏感資訊。即使Clubhouse已進行適當的加密來防止這一類的不當行爲,民衆在使用語音社羣平臺時仍需當心

據趨勢科技研究,駭客可透過分析網路流量的方式,攔截RTC相關封包以取得私人聊天室內的敏感資訊。(趨勢科技提供/黃慧雯臺北傳真)

二、透過Deepfake (深僞技術) 詐騙:看準衆多名人及意見領袖陸續加入語音社羣平臺的熱潮,駭客透過Deepfake (深僞技術),假冒名人及公衆人物的聲音進行詐騙,除了破壞被害者聲譽外,更嚴重的是,駭客可能利用權威人物的身分,吸引使用者加入房間,引導收聽者誤入某項投資騙局或遭受更大損失。

三、遭趁機錄音的風險:許多線上語音聊天平臺的通話紀錄會隨着聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊。除了損害他人名譽外,駭客可能借此進行欺詐性的商業交易。

四、面對騷擾和勒索的風險:駭客騷擾民衆的方式取決於各語音社羣平臺的應用程式和網路架構。例如在某些平臺上,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,並可以進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者。而根據趨勢科技研究,駭客可以輕易編寫腳本,自動進行上述的攻擊,提醒民衆在遇到這類情況時,可透過封鎖或是檢舉功能的方式防止攻擊。

五、相關地下服務正盛行發展:在近期語音社交軟體的蓬勃發展下,使用者開始討論透過購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客亦即推出可以透過API進行逆向工程製作機器人以換取邀請碼的地下服務。

六、語音平臺將成駭客攻擊的隱蔽通道:駭客可透過語音社羣平臺,爲C&C(Command & Control Server,可作爲指揮控制殭屍網路botnet的主控伺服器,不僅是攻擊者便利的資源管理平臺,也可以保障其個人隱私安全。)建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。在語音社羣平臺增加的趨勢下,攻擊者可能會開始將其視爲可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。

【「開房間」前的三大安全措施

一、在公開聊天室發言時,提高警覺心:趨勢科技提醒,在線上語音社羣平臺發表言論如同在公開場合說話,應避免透漏個人隱私及重要資訊,避免遭有心人士錄音,進行非法行爲。

二、當心「照騙」攻擊:目前許多相關應用程式並未建構完善的帳號認證,在與他人聊天時,應仔細檢查個人簡介及社羣網站連結是否真實,不輕易以名字或照片相信他人。

三、只授權必要權限、分享必要資料:在使用程式時應更加謹慎,使用者應避免開啓重要資訊的使用權限,像是如果使用者不希望應用程式收集通訊錄內的資料,則可以考慮拒絕授權請求,防範有心人士竊取個資。

【服務開發商可留意的三個資安建議】

根據趨勢科技對應用程式和通訊協定的技術分析,建議服務商可留意以下資安建議,提升安全性:

一、不要將密碼儲存在應用程式內 (如帳密和API金鑰) :趨勢科技發現部分應用程式可以直接將帳密以明碼形式儲存在應用程式的資訊清單內,駭客可能因此竊取帳號密碼、API金鑰等重要資訊,僞裝成他人進行詐騙。

二、提供加密的私人通話服務:未來可以開發加密羣組通話功能,例如使用安全即時傳輸協定 (SRTP) 來取代即時傳輸協定 (RTP) ,以維護用戶隱私安全。

三、提醒使用者手動檢查帳號認證:觀察多數語音社羣平臺,目前未支援社羣帳號認證功能 (如Twitter、Facebook或Instagram認證),導致不斷出現假冒的帳號,建議服務開發商可以提醒使用者手動檢查互動帳號是否爲本人,像是檢查該帳號的追蹤者或是連結的社羣帳號,以增加使用者安全性。