語音社群軟體Clubhouse近期爆紅,類似的語音社群應用程式如Riffr、Listen、Audlist和HearMeOut近期都是關注焦點。但全球網路資安解決方案廠商趨勢科技指出,不只許多民眾、名人及意見領袖爭相加入這一波語音聊天熱潮,駭客也不斷變換各種詭詐的手法,伺機誘騙受害者上勾。趨勢科技對語音社群軟體背後潛藏的六大資安風險提出示警,包含竊聽、攔截和非法錄音等,民眾及開發商相關使用時要注意提升安全性。趨勢科技點出六大資安風險,第一是駭客藉由分析網路流量,攔截RTC相關封包並竊聽聊天內容,取得私人聊天室內的敏感資訊。即使Clubhouse已進行適當的加密來防止這一類的不當行為,使用語音社群平台時仍需當心。
第二是看準眾多名人及意見領袖陸續加入語音社群平台的熱潮,駭客透過Deepfake (深偽技術) 詐騙,假冒名人及公眾人物的聲音進行詐騙,除了破壞被害者聲譽外,更嚴重的是駭客可能利用權威人物的身分,吸引使用者加入房間,引導收聽者誤入某項投資騙局或遭受更大損失。
第三是被趁機錄音的風險,許多線上語音聊天平台的通話紀錄會隨著聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊。除了損害他人名譽外,駭客可能藉此進行欺詐性的商業交易。
第四是民眾可能面對騷擾和勒索的風險。例如在某些平台上,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者。根據趨勢科技研究,駭客可以輕易編寫腳本,自動進行上述的攻擊,提醒民眾在遇到這類情況時,可透過封鎖或是檢舉功能的方式防止攻擊。
第五是隨著這類軟體服務蓬勃發展,相關地下服務也盛行。例如購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客馬上推出可以透過API進行逆向工程製作機器人以換取邀請碼的地下服務。
第六則是這類語音平台成為駭客攻擊的隱蔽通道。駭客為C&C建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。在語音社群平台增加的趨勢下,攻擊者可能會開始將其視為可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。
趨勢科技提醒用戶或企業在「開房間」前要有三大安全措施,包括在公開聊天室發言時,提高警覺心,避免透漏個人隱私及重要資訊,避免遭有心人士錄音,進行非法行為;第二是目前許多相關應用程式並未建構完善的帳號認證,與他人聊天時要仔細檢查個人簡介及社群網站連結是否真實,不輕易以名字或照片相信他人;第三是只授權必要權限、分享必要資料,使用者應避免對相關服務開啟重要資訊的使用權限,像是如果使用者不希望應用程式收集通訊錄內的資料,則可以考慮拒絕授權請求,防範有心人士竊取個資。
趨勢科技針對應用程式和通訊協定的技術分析,建議服務商可強化提升安全性的策略包括不要將密碼儲存在應用程式內 (如帳密和API金鑰) ;提供加密的私人通話服務,例如使用安全即時傳輸協定 (SRTP) 來取代即時傳輸協定 (RTP) ,以維護用戶隱私安全;以及提醒使用者手動檢查帳號認證,檢查互動帳號是否為本人,像是檢查該帳號的追蹤者或是連結的社群帳號,以增加使用者安全性。
▌延伸推薦:Clubhouse政商名流搶加入 爆紅原因及爭議點一次看
沒有留言:
張貼留言