近來 Clubhouse大量洗版,「開房間」、「邀請碼」等關鍵字成為超夯的社交用語,這款爆紅的語音聊天社群應用程式正迅速地吸引目光，但跟隨而來的是安全隱憂。比如說在帳號認證功能出現前，已經看到有假冒帳號的出現。本文介紹六個可能的資安風險,並提供用戶「開房間」前要注意的三件事,及建議服務商可以強化的資安重點。

語音社群應用程式如 Clubhouse、Riffr、Listen、Audlist和HearMeOut 等在近幾年吸發大量的關注。但就跟其他熱門的社群軟體一樣，也伴隨著安全風險。而且這些風險多數都能夠自動化快速地散播惡意威脅。要注意的是，這些應用本身並非惡意軟體。威脅來自網路犯罪分子會尋求利用這些平台的方法。

本文將分析這些語音社群應用程式（主要是Clubhouse，也包括Riffr、Listen、Audlist和HearMeOut）的可能風險及相關建議。

趨勢科技的研究於今年2月8日至11日間進行。裡面所提到的問題在本文發表時可能已經或正被應用程式廠商修復。我們也已經將研究結果通報給相關廠商。史丹佛大學的網路觀測計畫（SIO）也發表了相關但獨立的研究。Clubhouse已經迅速回應了SIO及其他研究人員所提出的疑慮。

此外，趨勢科技也獨立取得並分析了聲稱可將 Clubhouse 語音內容公開的軟體工具，該事件被媒體重點報導並被Clubhouse迅速地封鎖。我們要強調的是，這並不是個安全漏洞。該事件是開發者建立了一個鏡像網站，其他人可以用開發者的帳號收聽而非使用自己的帳號。雖然這肯定違反了服務條款，但並沒有使用任何特定的安全漏洞，更重要的是，鏡像網站並未進行錄音：聲音是從Clubhouse伺服器串流到請求的客戶端，從未經過鏡像網站。換句話說，該網站只是個客戶端，不過是基於JavaScript而非iOS。儘管這類型的服務濫用可能會變得越來越難，但網路服務或社群網路都很難徹底加以禁絕，因為沒有技術方法能有效地封鎖濫用行為,而不會影響到正常使用者。