近來 Clubhouse大量洗版,「開房間」、「邀請碼」等關鍵字成為超夯的社交用語,這款爆紅的語音聊天社群應用程式正迅速地吸引目光,但跟隨而來的是安全隱憂。比如說在帳號認證功能出現前,已經看到有假冒帳號的出現。本文介紹六個可能的資安風險,並提供用戶「開房間」前要注意的三件事,及建議服務商可以強化的資安重點。
語音社群應用程式如 Clubhouse、Riffr、Listen、Audlist和HearMeOut 等在近幾年吸發大量的關注。但就跟其他熱門的社群軟體一樣,也伴隨著安全風險。而且這些風險多數都能夠自動化快速地散播惡意威脅。要注意的是,這些應用本身並非惡意軟體。威脅來自網路犯罪分子會尋求利用這些平台的方法。
本文將分析這些語音社群應用程式(主要是Clubhouse,也包括Riffr、Listen、Audlist和HearMeOut)的可能風險及相關建議。
趨勢科技的研究於今年2月8日至11日間進行。裡面所提到的問題在本文發表時可能已經或正被應用程式廠商修復。我們也已經將研究結果通報給相關廠商。史丹佛大學的網路觀測計畫(SIO)也發表了相關但獨立的研究。Clubhouse已經迅速回應了SIO及其他研究人員所提出的疑慮。
此外,趨勢科技也獨立取得並分析了聲稱可將 Clubhouse 語音內容公開的軟體工具,該事件被媒體重點報導並被Clubhouse迅速地封鎖。我們要強調的是,這並不是個安全漏洞。該事件是開發者建立了一個鏡像網站,其他人可以用開發者的帳號收聽而非使用自己的帳號。雖然這肯定違反了服務條款,但並沒有使用任何特定的安全漏洞,更重要的是,鏡像網站並未進行錄音:聲音是從Clubhouse伺服器串流到請求的客戶端,從未經過鏡像網站。換句話說,該網站只是個客戶端,不過是基於JavaScript而非iOS。儘管這類型的服務濫用可能會變得越來越難,但網路服務或社群網路都很難徹底加以禁絕,因為沒有技術方法能有效地封鎖濫用行為,而不會影響到正常使用者。
比較電話和語音應用的風險
電話與語音應用程式通話兩種管道都可能被竊聽、攔截和非法錄音。對兩者的攻擊也都可以自動化,只不過對網路平台的攻擊程度可能更大。兩者都可能被惡意用於勒索,現在還可以透過Deepfake(深偽技術)工具來進行詐騙。但這些管道所面臨的風險也有些細微的差異。
延伸閱讀:網路釣魚進化成AI 語音釣魚,偽裝老闆聲音騙走770 萬台幣!
首先是參與通話的人數,這決定了能竊取的資料規模,或會有多少人接收到不正確的資訊。電話會議一次最多就只能容納一小群人,而應用程式可以容納數千人。以Clubhouse而言,一個房間最多可容納5,000人加入,即使是跟其他非語音社群網路(如Facebook)相比也是個可觀的數字。這代表了如果駭客想從參與者竊取資訊或破壞使用者聲譽,受害者或受眾可能會有數千人。
與此相關的是,能竊取的資料類型也不同。電話側錄,可能被竊取的資料取決於收話者所披露的內容。而對於大多數語音應用程式來說則取決於使用者如何設定帳號,如照片、電話號碼、電子郵件地址和其他個人身份資訊(PII)等資料很可能被同樣使用這些應用程式的駭客所取得。
另一個風險是假冒身份。儘管來電者也可以在電話中假裝成他人,但在語音社群應用裡,可信度會提高,因為駭客可以盜用照片和資訊來偽造個人檔案。
此外,語音應用程式(如某些網路平台)可被用來為命令和控制(C&C)提供隱蔽通道。我們在報告裡闡述了這一點。
語音社群網路平台的六個安全風險
下面提到一些語音社群應用使用者可能遭受的攻擊範例。完整資訊可以在我們的技術簡報內找到:
1.網路流量攔截和竊聽
攻擊者可以分析網路流量並尋找 RTC (Real-Time Communications 即時通訊) 封包:進行即時語音對話或影像對話的封包格式)相關封包來知道誰與誰在通話。底下的截圖來自我們用Clubhouse進行的實驗,可顯示攻擊者如何自動化,攔截 RTC 控制封包以取得兩位使用者所建立私人聊天室內的敏感資訊。
根據Clubhouse對史丹佛網路觀測計畫的回應,Clubhouse將會進行適當的加密來防止這一類的攻擊。
2.假冒身份和Deepfake(深偽技術)語音
駭客可能會假冒公眾人物,偽裝其聲音讓他們說出從來沒說過的話,輕則破壞被害者聲譽。比較嚴重的情況是攻擊者偽造成有公信力的交易員的聲音及個人檔案,吸引使用者加入房間並引導收聽者贊同某項財務投資規劃。
3.趁機錄音
如絕大多數應用程式的服務條款所述,多數語音社群網路的內容都是聽後即焚。但某些攻擊者可能會偷偷錄音,冒用他人名義開帳號,追蹤帳號的所有聯絡人使其看起來更加真實,甚至加入其他房間,偽裝聲音損害他人名譽,甚至可能導致欺詐性的商業交易。
4.騷擾和勒索
實際要如何操作取決於應用程式和網路架構。例如在某些平台上,當受害者加入一個公開房間時,關注受害者的攻擊者會得到通知。攻擊者可以在收到通知後進入該房間,跟主持人要求要發言,然後說出一些話或播放預錄聲音來勒索受害者。我們確認過可以輕易地編寫腳本來自動進行這些動作。幸運的是,大多數應用程式也提供封鎖和舉報濫用者的功能。
5.地下服務
在推出後不久,在網路上關於Clubhouse的討論就相當活躍。有些使用者已經在討論要購買關注者,有些人承諾要對API進行逆向工程來製作機器人以換取邀請碼,經證實這是可行的。
6.語音隱蔽通道
利用這些平台,駭客可以為C&C建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。如果語音社群網路繼續增加,攻擊者可能會開始將其視為可靠的替代管道:例如,攻擊者可以建立多個房間,讓殭屍程式連上它們來派送命令,並且不會留下任何痕跡(最多是加密過的錄音)。
「開房間」前的三個安全建議
為了確保安全地使用語音社群應用程式,建議使用者:
- 提醒自己加入公開房間時的發言,就跟在公開場合發言一樣。
在 Clubhouse 等語音社群平台只說自己放心跟公眾分享的內容,因為虛擬房間內可能有人會錄音(即便未經書面同意進行錄音違反了絕大多數這類應用程式的服務條款)。 - 當心「照騙」!不要光看名字就相信他人。
這些應用程式目前都沒有實施帳號認證;一定要仔細檢查個人簡介,使用者名稱和連結的社群聯絡人是否真實。 - 只授予必要權限,及分享必要資料。
像是如果使用者不希望應用程式收集通訊錄內的資料,則可以考慮拒絕授權請求。
給服務商的三個資安建議
根據我們對應用程式和通訊協定的技術分析,建議服務商考慮提供以下功能:
- 不要將密碼儲存在應用程式內(如帳密和API金鑰)。
我們發現有些應用程式直接將帳密以明碼形式儲存在應用程式的資訊清單內,這能夠讓駭客在第三方服務偽裝成別人。 - 提供加密的私人通話。
雖然需要在效能和加密間做出取捨,但最新的即時通應用程式支援加密群組通話。它們的使用案例有所不同,但我們認為未來的語音社群網路應提供與文字通訊同等級的隱私保護。例如,應該用安全即時傳輸協定(SRTP)來取代RTP。 - 使用者帳號認證。
目前沒有語音社群網路支援Twitter、Facebook或Instagram這樣的認證帳號,而且也已經看到有假冒帳號的出現。在帳號認證功能出現前,我們建議使用者手動檢查自己互動的帳號是否為本人(例如檢查關注者或已連結社群網路帳號數量)。
完整版本的報告請至趨勢科技的技術簡報了解更多。
@原文出處:Security Risks for Audio-centric Social Media Apps 作者:Federico Maggi(資深威脅研究員)