「开房」小心被窃听! 趋势科技示警语音社群平台

▲Clubhouse「开房小心被窃听!趋势科技示警语音社群平台风险。(图/达志影像美联社

记者吴佳颖台北报导

先前语音社群软体Clubhouse爆红,类似App如Riffr、Listen、Audlist和HearMeOutu也成为关注焦点。网路资安大厂商趋势科技 (东京证券交易所股票代码:4704) 提醒,语音社群软体背后潜藏着许多资安风险,包含窃听、拦截和非法录音等6大风险,因民众可能会在聊天过程中,不经意揭露个人资讯

趋势科技提出语音社群软体潜藏的六大资安风险包括:

1. 借由分析网路流量,来拦截并窃听聊天内容根据趋势科技研究骇客可透过分析网路流量的方式,拦截RTC相关封包注1以取得私人聊天室内的敏感资讯。即使Clubhouse已进行适当的加密来防止这一类的不当行为,民众在使用语音社群平台时仍需当心。 2. 透过Deepfake (深伪技术诈骗看准众多名人及意见领袖陆续加入语音社群平台的热潮,骇客透过Deepfake (深伪技术),假冒名人及公众人物的声音进行诈骗,除了破坏被害者声誉外,更严重的是,骇客可能利用权威人物的身分,吸引使用者加入房间,引导收听者误入某项投资骗局或遭受更大损失。 3. 遭趁机录音的风险许多线上语音聊天平台的通话纪录会随着聊天关闭而消失,然而骇客仍可透过私下录音的方式纪录通话内容,并进一步假冒他人帐号散播不当资讯。除了损害他人名誉外,骇客可能借此进行欺诈性的商业交易。 4. 面对骚扰和勒索的风险骇客骚扰民众的方式取决于各语音社群平台的应用程式和网路架构。例如在某些平台上,当骇客锁定的攻击对象加入一个公开房间时,骇客便会收到通知,并可以进入房间要求发言,透过说话或播放预录声音的方式勒索受害者。而根据趋势科技研究,骇客可以轻易编写脚本,自动进行上述的攻击,提醒民众在遇到这类情况时,可透过封锁或是检举功能的方式防止攻击。 5. 相关地下服务正盛行发展在近期语音社交软体的蓬勃发展下,使用者开始讨论透过购买追踪者来替个人帐号增加热度或达到行销目的,骇客亦即推出可以透过API进行逆向工程制作机器人以换取邀请码的地下服务。 6. 语音平台将成骇客攻击的隐蔽通道骇客可透过语音社群平台,为C&C注2建立隐蔽通道或利用资料隐码术来隐藏或传输资讯。在语音社群平台增加的趋势下,攻击者可能会开始将其视为可靠的攻击管道,像是建立多个房间,在不留痕迹的状况下,连接僵尸程式以传送命令。

周杰伦被盗用clubhouse。(图/翻摄自周杰伦IG) 另外,趋势科技提醒进入「聊天室」前,莫忘三大安全措施

1. 在公开聊天室发言时,提高警觉心趋势科技提醒,在线上语音社群平台发表言论如同在公开场合说话,应避免透露个人隐私及重要资讯,避免遭有心人士录音,进行非法行为。 2. 当心「照骗」攻击目前许多相关应用程式并未建构完善的帐号认证,在与他人聊天时,应仔细检查个人简介及社群网站连结是否真实,不轻易以名字或照片相信他人。 3. 只授权必要权限、分享必要资料在使用程式时应更加谨慎,使用者应避免开启重要资讯的使用权限,像是如果使用者不希望应用程式收集通讯录内的资料,则可以考虑拒绝授权请求,防范有心人士窃取个资。 同时,趋势科技提供服务开发商可留意的三个资安建议

1. 不要将密码储存在应用程式内 (如帐密和API金钥) :趋势科技发现部分应用程式可以直接将帐密以明码形式储存在应用程式的资讯清单内,骇客可能因此窃取帐号密码、API金钥等重要资讯,伪装成他人进行诈骗。 2. 提供加密的私人通话服务 :未来可以开发加密群组通话功能,例如使用安全即时传输协定 (SRTP) 来取代即时传输协定 (RTP) ,以维护用户隐私安全。 3. 提醒使用者手动检查帐号认证:观察多数语音社群平台,目前未支援社群帐号认证功能 (如Twitter、Facebook或Instagram认证),导致不断出现假冒的帐号,建议服务开发商可以提醒使用者手动检查互动帐号是否为本人,像是检查该帐号的追踪者或是连结的社群帐号,以增加使用者安全性