小心Clubhouse!資安軟體提出示警
隨著語音社群軟體Clubhouse近期爆紅,類似的語音社群應用程式近期也成為關注焦點。不過,網路資安軟體提醒,語音社群軟體背後潛藏著眾多資安風險,包含竊聽、攔截和非法錄音等,民眾可能會在聊天過程中,不經意揭露個人資訊。
根據網路資安公司趨勢科技研究,語音社群平台潛藏著六大資安風險,首先,駭客可透過分析網路流量的方式,攔截RTC(Real-Time Communications,即時通訊)相關封包,以取得私人聊天室內的敏感資訊;再來,駭客透過Deepfake(深偽技術),假冒名人及公眾人物的聲音進行詐騙,除了破壞被害者聲譽外,更嚴重的是,駭客可能利用權威人物的身分,吸引使用者加入房間,引導收聽者誤入某項投資騙局或遭受更大損失。
除了詐騙之外,語音社群平台也存在遭趁機錄音的風險。研究指出,許多線上語音聊天平台的通話紀錄會隨著聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊;除了損害他人名譽外,駭客可能藉此進行欺詐性的商業交易。
民眾使用語音社群平台,也可能遇到面對騷擾和勒索的風險。研究分析,駭客騷擾民眾的方式取決於各語音社群平台的應用程式和網路架構,例如在某些平台上,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,並可以進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者;此外,在近期語音社交軟體的蓬勃發展下,使用者開始討論透過購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客也即推出可以透過API進行逆向工程製作機器人以換取邀請碼的地下服務。
最後,研究顯示,駭客可透過語音社群平台,為C&C(Command & Control Server)建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊;在語音社群平台增加的趨勢下,攻擊者可能會開始將其視為可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。
研究建議,民眾不要將密碼儲存在應用程式內,因為應用程式可以直接將帳密以明碼形式儲存在應用程式的資訊清單內,可能因此會被駭客竊取重要資訊;此外,現在多數平台未支援社群帳號認證功能,導致不斷出現假冒的帳號,因此使用者可用手動檢查互動帳號是否為本人,像是檢查該帳號的追蹤者或是連結的社群帳號,以增加使用者安全性。