PCDIY!業界新聞
Clubhouse開房要當心! 趨勢科技針對語音社群平台提出資安示警
(本資訊由廠商提供,不代表PCDIY!立場) 2021-03-05 10:10:48
隨著語音社群軟體Clubhouse近期爆紅,類似的語音社群應用程式如Riffr、Listen、Audlist和HearMeOut近期亦成為關注焦點。不只許多民眾、名人及意見領袖爭相加入這一波語音聊天熱潮,駭客也同時看準此一情勢,正不斷變換各種詭詐的手法,伺機誘騙受害者上勾!全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 提醒語音社群軟體背後潛藏著眾多資安風險,包含竊聽、攔截和非法錄音等,民眾可能會在聊天過程中,不經意揭露個人資訊。對此,趨勢科技提出語音社群軟體潛藏的六大資安風險以提醒民眾小心,同時提供民眾及開發商相關使用建議,提升安全性。
根據趨勢科技研究,駭客可透過分析網路流量的方式,攔截RTC相關封包註1以取得私人聊天室內的敏感資訊。即使Clubhouse已進行適當的加密來防止這一類的不當行為,民眾在使用語音社群平台時仍需當心。
2. 透過Deepfake (深偽技術) 詐騙
看準眾多名人及意見領袖陸續加入語音社群平台的熱潮,駭客透過Deepfake (深偽技術),假冒名人及公眾人物的聲音進行詐騙,除了破壞被害者聲譽外,更嚴重的是,駭客可能利用權威人物的身分,吸引使用者加入房間,引導收聽者誤入某項投資騙局或遭受更大損失。
3. 遭趁機錄音的風險
許多線上語音聊天平台的通話紀錄會隨著聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊。除了損害他人名譽外,駭客可能藉此進行欺詐性的商業交易。
4. 面對騷擾和勒索的風險
駭客騷擾民眾的方式取決於各語音社群平台的應用程式和網路架構。例如在某些平台上,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,並可以進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者。而根據趨勢科技研究,駭客可以輕易編寫腳本,自動進行上述的攻擊,提醒民眾在遇到這類情況時,可透過封鎖或是檢舉功能的方式防止攻擊。
5. 相關地下服務正盛行發展
在近期語音社交軟體的蓬勃發展下,使用者開始討論透過購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客亦即推出可以透過API進行逆向工程製作機器人以換取邀請碼的地下服務。
6. 語音平台將成駭客攻擊的隱蔽通道
駭客可透過語音社群平台,為C&C註2建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。在語音社群平台增加的趨勢下,攻擊者可能會開始將其視為可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。
趨勢科技提醒,在線上語音社群平台發表言論如同在公開場合說話,應避免透漏個人隱私及重要資訊,避免遭有心人士錄音,進行非法行為。
2. 當心「照騙」攻擊
目前許多相關應用程式並未建構完善的帳號認證,在與他人聊天時,應仔細檢查個人簡介及社群網站連結是否真實,不輕易以名字或照片相信他人。
3. 只授權必要權限、分享必要資料
在使用程式時應更加謹慎,使用者應避免開啟重要資訊的使用權限,像是如果使用者不希望應用程式收集通訊錄內的資料,則可以考慮拒絕授權請求,防範有心人士竊取個資。
服務開發商可留意的三個資安建議
根據趨勢科技對應用程式和通訊協定的技術分析,建議服務商可留意以下資安建議,提升安全性:
1. 不要將密碼儲存在應用程式內 (如帳密和API金鑰) :
趨勢科技發現部分應用程式可以直接將帳密以明碼形式儲存在應用程式的資訊清單內,駭客可能因此竊取帳號密碼、API金鑰等重要資訊,偽裝成他人進行詐騙。
2. 提供加密的私人通話服務 :
未來可以開發加密群組通話功能,例如使用安全即時傳輸協定 (SRTP) 來取代即時傳輸協定 (RTP) ,以維護用戶隱私安全。
3. 提醒使用者手動檢查帳號認證:
觀察多數語音社群平台,目前未支援社群帳號認證功能 (如Twitter、Facebook或Instagram認證),導致不斷出現假冒的帳號,建議服務開發商可以提醒使用者手動檢查互動帳號是否為本人,像是檢查該帳號的追蹤者或是連結的社群帳號,以增加使用者安全性。
註1:RTC (Real-Time Communications 即時通訊) 封包:進行即時語音對話或影像對話的封包格式
註2:C&C為Command & Control Server,可作為指揮控制僵屍網路botnet的主控伺服器,不僅是攻擊者便利的資源管理平台,也可以保障其個人隱私安全。
當心! 語音社群平台潛藏六大資安風險
1. 藉由分析網路流量,來攔截並竊聽聊天內容根據趨勢科技研究,駭客可透過分析網路流量的方式,攔截RTC相關封包註1以取得私人聊天室內的敏感資訊。即使Clubhouse已進行適當的加密來防止這一類的不當行為,民眾在使用語音社群平台時仍需當心。
2. 透過Deepfake (深偽技術) 詐騙
看準眾多名人及意見領袖陸續加入語音社群平台的熱潮,駭客透過Deepfake (深偽技術),假冒名人及公眾人物的聲音進行詐騙,除了破壞被害者聲譽外,更嚴重的是,駭客可能利用權威人物的身分,吸引使用者加入房間,引導收聽者誤入某項投資騙局或遭受更大損失。
3. 遭趁機錄音的風險
許多線上語音聊天平台的通話紀錄會隨著聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊。除了損害他人名譽外,駭客可能藉此進行欺詐性的商業交易。
4. 面對騷擾和勒索的風險
駭客騷擾民眾的方式取決於各語音社群平台的應用程式和網路架構。例如在某些平台上,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,並可以進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者。而根據趨勢科技研究,駭客可以輕易編寫腳本,自動進行上述的攻擊,提醒民眾在遇到這類情況時,可透過封鎖或是檢舉功能的方式防止攻擊。
5. 相關地下服務正盛行發展
在近期語音社交軟體的蓬勃發展下,使用者開始討論透過購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客亦即推出可以透過API進行逆向工程製作機器人以換取邀請碼的地下服務。
6. 語音平台將成駭客攻擊的隱蔽通道
駭客可透過語音社群平台,為C&C註2建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。在語音社群平台增加的趨勢下,攻擊者可能會開始將其視為可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。
「開房間」前的三大安全措施
1. 在公開聊天室發言時,提高警覺心趨勢科技提醒,在線上語音社群平台發表言論如同在公開場合說話,應避免透漏個人隱私及重要資訊,避免遭有心人士錄音,進行非法行為。
2. 當心「照騙」攻擊
目前許多相關應用程式並未建構完善的帳號認證,在與他人聊天時,應仔細檢查個人簡介及社群網站連結是否真實,不輕易以名字或照片相信他人。
3. 只授權必要權限、分享必要資料
在使用程式時應更加謹慎,使用者應避免開啟重要資訊的使用權限,像是如果使用者不希望應用程式收集通訊錄內的資料,則可以考慮拒絕授權請求,防範有心人士竊取個資。
服務開發商可留意的三個資安建議
根據趨勢科技對應用程式和通訊協定的技術分析,建議服務商可留意以下資安建議,提升安全性:
1. 不要將密碼儲存在應用程式內 (如帳密和API金鑰) :
趨勢科技發現部分應用程式可以直接將帳密以明碼形式儲存在應用程式的資訊清單內,駭客可能因此竊取帳號密碼、API金鑰等重要資訊,偽裝成他人進行詐騙。
2. 提供加密的私人通話服務 :
未來可以開發加密群組通話功能,例如使用安全即時傳輸協定 (SRTP) 來取代即時傳輸協定 (RTP) ,以維護用戶隱私安全。
3. 提醒使用者手動檢查帳號認證:
觀察多數語音社群平台,目前未支援社群帳號認證功能 (如Twitter、Facebook或Instagram認證),導致不斷出現假冒的帳號,建議服務開發商可以提醒使用者手動檢查互動帳號是否為本人,像是檢查該帳號的追蹤者或是連結的社群帳號,以增加使用者安全性。
註1:RTC (Real-Time Communications 即時通訊) 封包:進行即時語音對話或影像對話的封包格式
註2:C&C為Command & Control Server,可作為指揮控制僵屍網路botnet的主控伺服器,不僅是攻擊者便利的資源管理平台,也可以保障其個人隱私安全。
- 發表您的看法
請勿張貼任何涉及冒名、人身攻擊、情緒謾罵、或內容涉及非法的言論。
請勿張貼任何帶有商業或宣傳、廣告用途的垃圾內容及連結。
請勿侵犯個人隱私權,將他人資料公開張貼在留言版內。
請勿重複留言(包括跨版重複留言)或發表與各文章主題無關的文章。
請勿張貼涉及未經證實或明顯傷害個人名譽或企業形象聲譽的文章。
您在留言版發表的內容需自負言論之法律責任,所有言論不代表PCDIY!雜誌立場,違反上述規定之留言,PCDIY!雜誌有權逕行刪除您的留言。
最近新增
- 廣穎將在Embedded World發表新款高耐用工業級SSD 助力AI邊緣運算發展
- 超大尺寸1000R曲面螢幕入門首選!Acer 34吋《Nitro ED343CUR H》上市開賣 UWQHD高解析無邊框設計、不閃頻100Hz 高刷新、 RGB酷炫燈條設計
- NVIDIA Hopper 在MLPerf的生成式人工智慧領域取得飛躍性進展 業界標準測試表明,基於NVIDIA Hopper的系統運行TensorRT-LLM軟體, 為生成式AI提供了世界上最強大的平台
- 地表最強Intel處理器!華碩工業主機板、邊緣AI電腦重磅出擊
- 宏正2023年營運穩健,EPS 4.73元、殖利率達5.3%展望45周年,上游供應鏈動能恢復及專業影音市場動能強勁 看好創作者經濟商機,全年可望再創營收佳績
- 行動新戰力!三星Galaxy Tab S6 Lite (2024)為智慧生活加分 S Pen好靈感速記、效能再提升、輕巧時尚隨「型」 創作學習娛樂一把罩
- Synology 公布 2024 全球資料管理大調查結果, 超過 7 成公司無法完全抵禦勒索軟體威脅
- 《暗黑破壞神IV》推出支援光線追蹤技術的升級版內容,《重裝前哨》上市即支援 DLSS 3,還有更多支援 DLSS 2 的新遊戲推出
- 筆電輕量化革命!世界最輕16吋翻轉觸控筆電LG gram Pro 2-in-1輕盈上市 極輕,不被看輕!2024 LG gram Pro 極致輕薄系列全新升級 輕薄高續航x首創gram Link x AI整合力 效能隱私娛樂全面提升
- 伊雲谷與亞東紀念醫院攜手 打造新世代混合雲醫療系統 成本下降35%
- 中國電信上海公司正式發布全球首個基於「50G-PON」的「10Gbps萬兆雲寬頻示範小區」
- GenAI(生成式AI)將成 COMPUTEX 2024 AI 解決方案主流趨勢 COMPUTEX/InnoVEX 2024 海內外買主及專業人士線上預先登錄全面啟動
最多人點閱
- Microsoft Azure Certified for IoT 快速打造智慧物聯網
- 美光與希捷宣布成立策略聯盟 兩大產業龍頭攜手 結合美光NAND型快閃記憶體與希捷的儲存技術
- SP廣穎電通將於德國2015 Embedded World展示全方位工控系列產品
- 電腦每天開!電費多驚人?世界地球日 用APP隨時關機
- 英特爾舉辦亞洲區創新高峰會 促進台灣與全亞洲產業體系的創新發展
- IEM於台北國際電玩展熱血開打,購買Intel Core i5/i7處理器系列+SSD 750即得限量好禮
- 深根台灣成就萬物相聯 2015 ARM®新竹辦公室擴大營運暨亞洲第一座CPU設計中心開幕
- AMD發表全球首款GPU硬體虛擬化產品線
- AMD推出全球首款業界領先的32GB記憶體伺服器GPU 瞄準高效能運算
- AMD推出全新Catalyst 15.7驅動程式 讓AMD APU及GPU充分展現Windows®10直覺化體驗
- PLEXTOR感恩節大回饋,M6V卡禮來雙重送!
- 希捷科技:2016年六大科技趨勢