隨著語音社群軟體Clubhouse近期爆紅,類似的語音社群應用程式如Riffr、Listen、Audlist和HearMeOut近期亦成為關注焦點,甚至讓小米的米聊也因此復活。不過現在使用上要小心了!趨勢科技提醒用戶,這類型產品可能有竊聽、攔截和非法錄音等疑慮,建議民眾在聊天過程中,不要揭露個人敏感資訊。
藉由分析網路流量,來攔截並竊聽聊天內容
根據趨勢科技研究,駭客可透過分析網路流量的方式,攔截RTC相關封包以取得私人聊天室內的敏感資訊。即使Clubhouse已進行適當的加密來防止這一類的不當行為,民眾在使用語音社群平台時仍需當心。
透過Deepfake (深偽技術) 詐騙
報告顯示,駭客們會透過Deepfake (深偽技術),假冒名人及公眾人物的聲音進行詐騙,除了破壞被害者聲譽外,更嚴重的是,駭客可能利用權威人物的身分,吸引使用者加入房間,引導收聽者誤入某項投資騙局或遭受更大損失。
遭趁機錄音的風險
許多線上語音聊天平台的通話紀錄會隨著聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊。
面對騷擾和勒索的風險
駭客騷擾民眾的方式取決於各語音社群平台的應用程式和網路架構。例如在某些平台上,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,並可以進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者。而根據趨勢科技研究,駭客可以輕易編寫腳本,自動進行上述的攻擊,提醒民眾在遇到這類情況時,可透過封鎖或是檢舉功能的方式防止攻擊。
相關地下服務正盛行發展
在近期語音社交軟體的蓬勃發展下,使用者開始討論透過購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客亦即推出可以透過API進行逆向工程製作機器人以換取邀請碼的地下服務。
語音平台將成駭客攻擊的隱蔽通道
駭客可透過語音社群平台,為C&C建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。在語音社群平台增加的趨勢下,攻擊者可能會開始將其視為可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。
趨勢科技提醒,「開房間」前的三大安全措施
- 在公開聊天室發言時,提高警覺心
- 當心「照騙」攻擊
- 只授權必要權限、分享必要資料
趨勢科技提供的三個資安建議
- 不要將密碼儲存在應用程式內 (如帳密和API金鑰)
- 提供加密的私人通話服務
- 提醒使用者手動檢查帳號認證
