Clubhouse 開房要當心!趨勢科技針對語音社群平台提出資安示警

語音社群軟體背後潛藏著眾多資安風險,包含竊聽、攔截和非法錄音等,民眾可能會在聊天過程中,不經意揭露個人資訊。
評論
Photo Credit: Shutterstock / 達志影像
評論

本篇來自趨勢科技新聞稿,INSIDE 經編審後刊出。

隨著語音社群軟體 Clubhouse 近期爆紅,類似的語音社群應用程式如 Riffr、Listen、Audlist 和 HearMeOut 近期亦成為關注焦點。不只許多民眾、名人及意見領袖爭相加入這一波語音聊天熱潮,駭客也同時看準此一情勢,正不斷變換各種詭詐的手法,伺機誘騙受害者上勾!

全球網路資安解決廠商趨勢科技提醒,語音社群軟體背後潛藏著眾多資安風險,包含竊聽、攔截和非法錄音等,民眾可能會在聊天過程中,不經意揭露個人資訊。對此,趨勢科技提出語音社群軟體潛藏的六大資安風險以提醒民眾小心,同時提供民眾及開發商相關使用建議,提升安全性。

當心!語音社群平台潛藏六大資安風險

1.  藉由分析網路流量,來攔截並竊聽聊天內容

根據趨勢科技研究,駭客可透過分析網路流量的方式,攔截 RTC 相關封包註1以取得私人聊天室內的敏感資訊。即使 Clubhouse 已進行適當的加密來防止這一類的不當行為,民眾在使用語音社群平台時仍需當心。

2.  透過 Deepfake(深偽技術)詐騙

看準眾多名人及意見領袖陸續加入語音社群平台的熱潮,駭客透過 Deepfake(深偽技術),假冒名人及公眾人物的聲音進行詐騙。除了破壞被害者聲譽外,更嚴重的是,駭客可能利用權威人物的身分,吸引使用者加入房間,引導收聽者誤入某項投資騙局或遭受更大損失。

3.  遭趁機錄音的風險

許多線上語音聊天平台的通話紀錄會隨著聊天關閉而消失,然而駭客仍可透過私下錄音的方式紀錄通話內容,並進一步假冒他人帳號散播不當資訊。除了損害他人名譽外,駭客可能藉此進行欺詐性的商業交易。

4.  面對騷擾和勒索的風險

駭客騷擾民眾的方式取決於各語音社群平台的應用程式和網路架構。例如在某些平台上,當駭客鎖定的攻擊對象加入一個公開房間時,駭客便會收到通知,並可以進入房間要求發言,透過說話或播放預錄聲音的方式勒索受害者。

而根據趨勢科技研究,駭客可以輕易編寫腳本,自動進行上述的攻擊,提醒民眾在遇到這類情況時,可透過封鎖或是檢舉功能的方式防止攻擊。

5.  相關地下服務正盛行發展

在近期語音社交軟體的蓬勃發展下,使用者開始討論透過購買追蹤者來替個人帳號增加熱度或達到行銷目的,駭客亦即推出可以透過 API 進行逆向工程製作機器人,以換取邀請碼的地下服務。

6.  語音平台將成駭客攻擊的隱蔽通道

駭客可透過語音社群平台,為 C&C 註2 建立隱蔽通道或利用資料隱碼術來隱藏或傳輸資訊。在語音社群平台增加的趨勢下,攻擊者可能會開始將其視為可靠的攻擊管道,像是建立多個房間,在不留痕跡的狀況下,連接殭屍程式以傳送命令。

「開房間」前的三大安全措施

1.  在公開聊天室發言時,提高警覺心

趨勢科技提醒,在線上語音社群平台發表言論如同在公開場合說話,應避免透漏個人隱私及重要資訊,避免遭有心人士錄音,進行非法行為。

2.  當心「照騙」攻擊

目前許多相關應用程式並未建構完善的帳號認證,在與他人聊天時,應仔細檢查個人簡介及社群網站連結是否真實,不輕易以名字或照片相信他人。

3.  只授權必要權限、分享必要資料

在使用程式時應更加謹慎,使用者應避免開啟重要資訊的使用權限,像是如果使用者不希望應用程式收集通訊錄內的資料,則可以考慮拒絕授權請求,防範有心人士竊取個資。

服務開發商可留意的三個資安建議

根據趨勢科技對應用程式和通訊協定的技術分析,建議服務商可留意以下資安建議,提升安全性:

1.  不要將密碼儲存在應用程式內(如帳密和API金鑰):

趨勢科技發現,部分應用程式可以直接將帳密以明碼形式,儲存在應用程式的資訊清單內。駭客可能因此竊取帳號密碼、API 金鑰等重要資訊,偽裝成他人進行詐騙。

2.  提供加密的私人通話服務 :

未來可以開發加密群組通話功能,例如使用安全即時傳輸協定(SRTP)來取代即時傳輸協定(RTP) ,以維護用戶隱私安全。

3.  提醒使用者手動檢查帳號認證:

觀察多數語音社群平台,目前未支援社群帳號認證功能(如 Twitter、Facebook 或 Instagram 認證),導致不斷出現假冒的帳號。建議服務開發商可以提醒使用者手動檢查互動帳號是否為本人,像是檢查該帳號的追蹤者或是連結的社群帳號,以增加使用者安全性。

註1:RTC (Real-Time Communications 即時通訊) 封包:進行即時語音對話或影像對話的封包格式

註2:C&C為Command & Control Server,可作為指揮控制僵屍網路botnet的主控伺服器,不僅是攻擊者便利的資源管理平台,也可以保障其個人隱私安全。

責任編輯:MindyLi
核稿編輯:Anny

延伸閱讀:



i-Ctrl AC 搶攻智能家電分眾市場,傳統冷氣一秒升級智慧家電

專為冷氣而生的智慧控制器「i-Ctrl AC」,為大眾解決傳統冷氣不夠智慧的困擾,隨時隨地精準控制居家舒適度。
評論
Photo Credit: AIFA 艾法科技
評論

台灣多變的氣候型態,讓許多人在選購冷氣時,更加注重功能性以及居家生活的舒適度。然而大多數的傳統冷氣總是忽冷忽熱、更無法遠端控制,而現在只要多花一點巧思,就能為傳統冷氣裝上智慧功能,輕鬆創造舒適的環境。

在台灣擁有 28 年代工生產經驗的「AIFA 艾法科技」,今年獨家推出台灣研發、台灣製造的「i-Ctrl AC」,為大眾解決傳統冷氣不夠智慧的困擾。只要將 i-Ctrl AC 連上 Wi-Fi,並與家中的冷氣配對,就可以擺脫找不到遙控器的窘境,透過介面簡潔的 app 輕鬆管理每台冷氣,不論身在何處,都能讓家中保持最舒適的溫度。 

i-Ctrl AC 已經在今年夏季登上挖貝 WaBay 群眾集資平台,以一千元有找的超優惠價格,創下 4 小時達標的好成績,實現台灣開發與台灣製造的絕佳典範。群眾集資網址:https://reurl.cc/yeR1WM

智慧 AI 讓冷氣變聰明 精巧符合個人使用需求

天氣又濕又熱,每天回到家裡總是想快點打開冷氣,讓室內變得舒爽。台灣的氣候悶熱潮濕,家裡昂貴的衣服容易受潮發霉。過去礙於無法即時掌握室內溫度、濕度,僅能選擇手動調整冷氣,試著讓環境舒適一點。

i-Ctrl AC 讓傳統冷氣也能偵測濕度,透過 AI 智慧感控,不僅能紀錄家裡每個時間點的溫度、濕度,還能在溫度過高時自動開啟冷氣,濕氣太重時自動開冷氣除濕。解決以往只能被動地開啟冷氣,現在可以讓冷氣主動依照環境調整模式。

兼容 Siri、Google Assistant 與 Amazon Alexa,透過手機或 Nest 智慧音箱,i-Ctrl AC 也可以搭配聲控。「Hey google, 打開冷氣」、「OK google, 把冷氣調到 26 度」,簡單幾個指令就能控制冷氣,讓電影般科幻場景在每個人的家裡實現。

從任何地方控制冷氣,輕鬆實現 IoT 美好生活

Photo Credit: AIFA 艾法科技

借助 AIFA Smart 技術,用戶可以透過智慧型手機上的 AIFA Smart app,從任何地方控制冷氣。自動偵測用戶位置,回家前自動開啟冷氣,告別悶熱潮濕的房間;外出時設定適合的溫度節能減碳,降低電費成本。就算出門忘記關冷氣也不怕,遠端遙控可以完美解決  。

如果有一台以上的 i-Ctrl AC,可以放在常用的房間自動控制冷氣,也可以放在老家遠端遙控。針對不同空間調整適合的溫度,從舊金山遙控鳳山都不是問題。i-Ctrl AC 讓用戶不需花大錢更冷氣設備,只需一台裝置,10 秒鐘就能快速配對冷氣,並且支援台灣各大冷氣品牌。輕鬆享受冷氣升級的方便,提高生活舒適度。

本土技術開發 x 台灣設計製造,譜出德國人也叫好的 i-Ctrl

AIFA 艾法科技的目標是希望根基於台灣,做一個台灣原生的智慧家庭品牌,28 年來專注於各類遙控器研發,為台灣製造無數支萬用遙控器,總共陪伴大家生活超過 10,000  個日子。

i-Ctrl 是 AIFA 艾法科技創造的台灣智慧家庭品牌,產品自 2016 年推出以來,全球募資金額累計突破新台幣 10,000,000 元。同時,更進一步建立了數百萬台冷氣的內建代碼,資料庫由台灣本土廠商自行收錄開發。消費者不必擔心產品更新與優化維護等問題,本土廠商的浪漫,讓艾法科技也引以為傲,今後也將堅定地走下去。

每天只要 3 元,為家人與毛小孩打造智慧舒適圈

Photo Credit: AIFA 艾法科技

愛自己與家人,就用最智慧的方式。專為冷氣而生的智慧控制器,無論老婆、小孩、毛孩的各式需求,i-Ctrl AC 都能一手掌握,隨時隨地精準控制居家舒適度。

i-Ctrl AC 現於挖貝群眾集資平台熱烈搶購,晚鳥 7 折只要 970 元,限時限量、預購從速,一秒升級居家舒適圈,就從現在開始:https://reurl.cc/yeR1WM

本文章內容由「AIFA 艾法科技」提供,經關鍵評論網媒體集團廣編企劃編審。