開房要小心! Clubhouse 潛藏六大資安危機
記者:戴嘉芬 | 2021-03-06 15:08
駭客可透過分析網路流量的方式,攔截RTC相關封包以取得私人聊天室內的敏感資訊。(圖/趨勢科技提供)
語音社群軟體Clubhouse在今年初爆紅,許多民眾、名人及意見領袖爭相加入這一波語音聊天熱潮,連同其他類似的語音社群app如Riffr、Listen、Audlist和HearMeOut亦成為關注焦點。這些語音社群潛藏各種資安危機,資安業者提醒民眾使用時要更加小心。
資安防毒軟體業者─趨勢科技表示,駭客看準此一情勢,正不斷變換各種詭詐的手法,伺機誘騙受害者上勾!這些語音社群軟體潛藏六大資安風險,包含竊聽、攔截和非法錄音等,民眾可能會在聊天過程中,不經意揭露個人資訊。
第一個風險是駭客藉由分析網路流量,來攔截並竊聽聊天內容。其二是透過Deepfake(深偽技術)詐騙,也就是假冒名人及公眾人物的聲音進行詐騙,引導收聽者誤入某項投資騙局或遭受更大損失。
其三是遭趁機錄音的風險,許多線上語音聊天平台的通話紀錄會隨著聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊。第四個風險是,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,並可以進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者。
而在近期語音社交軟體的蓬勃發展下,使用者開始討論透過購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客亦即推出可以透過API進行逆向工程製作機器人以換取邀請碼的地下服務,此為第五種風險。
此外,駭客亦可透過語音社群平台,為C&C建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。在語音社群平台增加的趨勢下,攻擊者可能會開始將其視為可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。
針對上述六大風險,趨勢科技提醒民眾,在「開房間」前有三大安全措施:首先,在線上語音社群平台發表言論如同在公開場合說話,應避免透露個人隱私及重要資訊,避免遭有心人士錄音,進行非法行為。其次,目前許多相關應用程式並未建構完善的帳號認證,在與他人聊天時,應仔細檢查個人簡介及社群網站連結是否真實,不輕易以名字或照片相信他人。第三,只授權必要權限、分享必要資料,在使用程式時應更加謹慎,使用者應避免開啟重要資訊的使用權限,像是如果使用者不希望應用程式收集通訊錄內的資料,則可以考慮拒絕授權請求,防範有心人士竊取個資。