Clubhouse开房要当心 趋势科技示警语音社群平台资安疑虑

趋势科技针对语音社群平台提出资安示警。（趋势科技提供／黄慧雯台北传真）

随着语音社群软体Clubhouse近期爆红，类似的语音社群应用程式如Riffr、Listen、Audlist和HearMeOut近期亦成为关注焦点。不只许多民众、名人及意见领袖争相加入这一波语音聊天热潮，骇客也同时看准此一情势，正不断变换各种诡诈的手法，伺机诱骗受害者上勾！网路资安解决方案厂商趋势科技提醒，语音社群软体背后潜藏着众多资安风险，包含窃听、拦截和非法录音等，民众可能会在聊天过程中，不经意揭露个人资讯。对此，趋势科技提出语音社群软体潜藏的六大资安风险以提醒民众小心，同时提供民众及开发商相关使用建议，提升安全性。

【当语音社群平台潜藏六大资安风险】

一、借由分析网路流量，来拦截并窃听聊天内容：根据趋势科技研究，骇客可透过分析网路流量的方式，拦截RTC相关封包注1以取得私人聊天室内的敏感资讯。即使Clubhouse已进行适当的加密来防止这一类的不当行为，民众在使用语音社群平台时仍需当心。

据趋势科技研究，骇客可透过分析网路流量的方式，拦截RTC相关封包以取得私人聊天室内的敏感资讯。（趋势科技提供／黄慧雯台北传真）

二、透过Deepfake (深伪技术) 诈骗：看准众多名人及意见领袖陆续加入语音社群平台的热潮，骇客透过Deepfake (深伪技术)，假冒名人及公众人物的声音进行诈骗，除了破坏被害者声誉外，更严重的是，骇客可能利用权威人物的身分，吸引使用者加入房间，引导收听者误入某项投资骗局或遭受更大损失。

三、遭趁机录音的风险：许多线上语音聊天平台的通话纪录会随着聊天关闭而消失，然而骇客仍可透过私下录音的方式纪录通话内容，并进一步假冒他人帐号散播不当资讯。除了损害他人名誉外，骇客可能借此进行欺诈性的商业交易。

四、面对骚扰和勒索的风险：骇客骚扰民众的方式取决于各语音社群平台的应用程式和网路架构。例如在某些平台上，当骇客锁定的攻击对象加入一个公开房间时，骇客便会收到通知，并可以进入房间要求发言，透过说话或播放预录声音的方式勒索受害者。而根据趋势科技研究，骇客可以轻易编写脚本，自动进行上述的攻击，提醒民众在遇到这类情况时，可透过封锁或是检举功能的方式防止攻击。

五、相关地下服务正盛行发展：在近期语音社交软体的蓬勃发展下，使用者开始讨论透过购买追踪者来替个人帐号增加热度或达到行销目的，骇客亦即推出可以透过API进行逆向工程制作机器人以换取邀请码的地下服务。

六、语音平台将成骇客攻击的隐蔽通道：骇客可透过语音社群平台，为C&Ｃ（Command & Control Server，可作为指挥控制僵尸网路botnet的主控伺服器，不仅是攻击者便利的资源管理平台，也可以保障其个人隐私安全。）建立隐蔽通道或利用资料隐码术来隐藏或传输资讯。在语音社群平台增加的趋势下，攻击者可能会开始将其视为可靠的攻击管道，像是建立多个房间，在不留痕迹的状况下，连接僵尸程式以传送命令。

【「开房间」前的三大安全措施】

一、在公开聊天室发言时，提高警觉心：趋势科技提醒，在线上语音社群平台发表言论如同在公开场合说话，应避免透漏个人隐私及重要资讯，避免遭有心人士录音，进行非法行为。

二、当心「照骗」攻击：目前许多相关应用程式并未建构完善的帐号认证，在与他人聊天时，应仔细检查个人简介及社群网站连结是否真实，不轻易以名字或照片相信他人。

三、只授权必要权限、分享必要资料：在使用程式时应更加谨慎，使用者应避免开启重要资讯的使用权限，像是如果使用者不希望应用程式收集通讯录内的资料，则可以考虑拒绝授权请求，防范有心人士窃取个资。

【服务开发商可留意的三个资安建议】

根据趋势科技对应用程式和通讯协定的技术分析，建议服务商可留意以下资安建议，提升安全性：

一、不要将密码储存在应用程式内 (如帐密和API金钥) ：趋势科技发现部分应用程式可以直接将帐密以明码形式储存在应用程式的资讯清单内，骇客可能因此窃取帐号密码、API金钥等重要资讯，伪装成他人进行诈骗。

二、提供加密的私人通话服务：未来可以开发加密群组通话功能，例如使用安全即时传输协定 (SRTP) 来取代即时传输协定 (RTP) ，以维护用户隐私安全。

三、提醒使用者手动检查帐号认证：观察多数语音社群平台，目前未支援社群帐号认证功能 (如Twitter、Facebook或Instagram认证)，导致不断出现假冒的帐号，建议服务开发商可以提醒使用者手动检查互动帐号是否为本人，像是检查该帐号的追踪者或是连结的社群帐号，以增加使用者安全性。