近來 Clubhouse大量洗版,「開房間」、「邀請碼」等關鍵字成為超夯的社交用語,這款爆紅的語音聊天社群應用程式正迅速地吸引目光,但跟隨而來的是安全隱憂。比如說在帳號認證功能出現前,已經看到有假冒帳號的出現。本文介紹六個可能的資安風險,並提供用戶「開房間」前要注意的三件事,及建議服務商可以強化的資安重點。
語音社群應用程式如 Clubhouse、Riffr、Listen、Audlist和HearMeOut 等在近幾年吸發大量的關注。但就跟其他熱門的社群軟體一樣,也伴隨著安全風險。而且這些風險多數都能夠自動化快速地散播惡意威脅。要注意的是,這些應用本身並非惡意軟體。威脅來自網路犯罪分子會尋求利用這些平台的方法。
本文將分析這些語音社群應用程式(主要是Clubhouse,也包括Riffr、Listen、Audlist和HearMeOut)的可能風險及相關建議。
趨勢科技的研究於今年2月8日至11日間進行。裡面所提到的問題在本文發表時可能已經或正被應用程式廠商修復。我們也已經將研究結果通報給相關廠商。史丹佛大學的網路觀測計畫(SIO)也發表了相關但獨立的研究。Clubhouse已經迅速回應了SIO及其他研究人員所提出的疑慮。
此外,趨勢科技也獨立取得並分析了聲稱可將 Clubhouse 語音內容公開的軟體工具,該事件被媒體重點報導並被Clubhouse迅速地封鎖。我們要強調的是,這並不是個安全漏洞。該事件是開發者建立了一個鏡像網站,其他人可以用開發者的帳號收聽而非使用自己的帳號。雖然這肯定違反了服務條款,但並沒有使用任何特定的安全漏洞,更重要的是,鏡像網站並未進行錄音:聲音是從Clubhouse伺服器串流到請求的客戶端,從未經過鏡像網站。換句話說,該網站只是個客戶端,不過是基於JavaScript而非iOS。儘管這類型的服務濫用可能會變得越來越難,但網路服務或社群網路都很難徹底加以禁絕,因為沒有技術方法能有效地封鎖濫用行為,而不會影響到正常使用者。
繼續閱讀