[[395574]]

只使用音頻的社交媒體應用程序(例如ClubHouse，Riffr，Listen，Audlist和HearMeOut)這兩年發展的比較火，正吸引著越來越多用戶的興趣，但就像其他任何技術一樣，這類應用程序也存在著巨大安全風險。

此外，這些風險中的大多數都可以自動化，幫助攻擊者更容易、更快地傳播這些攻擊。需要注意的是，這些應用本身并沒有惡意攻擊的功能，這些攻擊來自尋找利用這些平臺方法的網絡攻擊者。

在這篇文章中，研究人員通過分析這些應用程序(主要是ClubHouse，但也包括Riffr、Listen、Audlist和HearMeOut)來論證和概述這些風險。研究人員也分享了一些關于如何避免它們的建議，具體的研究報告請點此。

研究人員的研究是在今年2月8日至11日進行的，截止發稿時，應用程序供應商可能已經或正在修復本上述研究報告中描述的一些問題。最新報道表明，已經有網絡黑客證實了Clubhouse的實時音頻是可以被竊取的。Clubhouse發言人瑞瑪·巴納西稱，有一位身份不明的用戶將Clubhouse的音頻從“多個房間”傳送到他們自己的第三方網站上。雖然Clubhouse公司及時發現并且表示將“永久禁止”這一用戶的使用，而且為軟件配備了新的“安全措施”以防止此類事件再次出現。但仍有研究人員認為，Clubhouse平臺可能永遠無法兌現這樣的承諾。

近日研究人員還獨立獲得并分析了據稱用于“從ClubHouse泄露音頻”的軟件工具，經過分析后，研究人員想強調的是Clubhouse的實時音頻泄漏并不是一個安全漏洞。開發人員創建了一個鏡像網站，該鏡像網站允許其他人使用開發人員的唯一帳戶而不是他們的個人賬戶進行監聽。雖然這肯定會破壞服務條款，但絕沒有使用任何特定的安全漏洞，而且最重要的是，鏡像網站未進行任何錄音：音頻仍從ClubHouse服務器流向發出請求的客戶端，從來沒有通過鏡像網站。換句話說，這個網站只不過是一個基于JavaScript而不是iOS的客戶端。盡管這種類型的服務濫用可能會變得更加困難，但沒有web服務或社交網絡能夠免受它們的影響，因為在不影響合法用戶可用性的情況下，沒有技術上的方法可以可靠地預防這種攻擊。

在典型的以音頻為中心的社交網絡中，主要對象和數據以及它們之間的交互

比較手機通話和以音頻為中心的應用程序通話的風險

使用手機的安全風險與使用以音頻為中心的手機通話應用程序的安全風險是相同的，由于它們的性質相似，兩個頻道都可以被竊聽、攔截和非法記錄。針對這兩個平臺的攻擊也可以自動進行，只是可能在更大程度上針對在線平臺。這兩種手段都可被用于敲詐勒索，而現成的Deepfake工具也有助于進行詐騙。但是，這些渠道的風險存在一些細微的差異。

首先是可以參與通話的人數，這可以決定可以被竊取的數據范圍或可以接收不正確信息的人數。手機通話一次只能容納一小群人，而應用程序可以容納數千人。僅ClubHouse一個房間就可以容納5000人，即使與Facebook等非語音中心的在線社交網絡相比，這個數字也是相當可觀的。這意味著，如果攻擊者決定竊取手機通話參與者的信息或破壞用戶的聲譽，成千上萬的人可能成為受害者或聽眾。

依次類推，可以被竊取的數據類型也各不相同。通過手機通話，可能被竊取的數據取決于接收者披露的內容。而在大多數以語音為中心的應用中，則取決于用戶配置帳戶的方式，潛在的攻擊者也可以很容易地訪問這些數據，例如照片、電話號碼、電子郵件地址和其他個人身份信息(PII)。

另一個攻擊方式則是用戶模擬，雖然手機通話者也可以在手機通話中冒充另一個人的身份，但是在純音頻的社交媒體應用中，這種可信度得到了提高，因為惡意攻擊者可以使用假冒的人的照片和信息來創建虛假的個人資料。

此外，以語音為中心的應用程序，如一些在線平臺，可以用來啟動命令與控制(C&C)的隱蔽通道，研究人員在上述報告中對此作了詳細闡述。

純音頻社交網絡平臺的安全風險

以下是一些可以針對以音頻為中心的社交媒體應用程序用戶的攻擊示例。這些的全部細節可以在研究人員的全部技術簡介中找到:

1.網絡流量攔截和竊聽

攻擊者可以通過分析網絡流量并查找與RTC相關的數據包來了解通話雙方的身份，以下截屏來自研究人員使用ClubHouse應用程序進行的演示，顯示了攻擊者如何自動執行此過程并攔截RTC控制數據包，以獲取與其中兩個用戶創建的私人聊天相關的敏感信息。

自動化網絡分析和RTC數據包搜索

截止發稿時，ClubHouse承諾將采取適當的加密措施來防止此類及相關的攻擊。

2.用戶模擬和Deepfake語音

惡意用戶可能會冒充一個公共人物，并通過偽造其聲音使他們說出他們永遠不會說的話，從而對其聲譽造成影響。攻擊者還可以偽造聲音，并創建著名交易員的個人資料，吸引用戶加入一個聊天室，誘惑他們進行投資。

3.投機取巧的記錄

正如大多數(不是全部)應用程序的服務條款所述，大多數音頻社交網絡的內容都是短暫保存的，并且“僅供參與者使用”，但是某些攻擊者可以進行錄音、復制帳戶、自動跟蹤帳戶的所有聯系人以使其看起來更加真實，在獲取相關聯系人信任后，就邀請他們加入聊天室，并使用偽造的聲音說說一些話，破壞別人聲譽甚至是欺詐業務。

4.騷擾和勒索

如何實際執行此操作將取決于應用程序和網絡的結構，例如，在某些平臺上，跟蹤受害者的攻擊者將在受害者進入公共房間時也同時得到通知。收到進入房間的通知后，攻擊者也可以加入那個房間，請主持人發言，然后說些什么或者播放預先錄制的音頻來勒索受害者。研究人員驗證了所有這些都可以很容易地通過編寫腳本自動運行。幸運的是，大多數應用程序也有阻止和舉報濫用用戶的功能。

5.地下服務

ClubHouse剛上線，研究人員就在surface Web上發現了很多關于它的討論。一些用戶已經開始討論購買關注者，一些所謂的開發人員承諾對API進行反向工程以創建僵尸程序以換取邀請，研究人員也證實了這是可行的。

論壇用戶討論出于營銷目的制作或購買僵尸程序服務的問題

6.音頻隱蔽通道

使用這些平臺，威脅參與者可以創建隱秘渠道進行C&C或使用隱寫術隱藏或傳輸信息。如果以音頻為中心的社交網絡繼續增加，攻擊者可能會開始將它們定位為可靠的攻擊面：例如，攻擊者可以創建多個房間，并讓僵尸程序連接它們來調度命令，并且不會留下任何痕跡(除了加密的錄音，如果有的話)。

緩解措施

為確保音頻應用程序的安全使用，研究人員向音頻社交網絡用戶推薦以下最佳安全防護做法：

1. 加入公共房間，就像在公共場合講話一樣。用戶只能說自己愿意與公眾共享的內容，因為有可能有人在虛擬房間里錄音，即使未經書面同意錄音違反了大部分服務條款，也會有人這么做。

2.不要僅憑名字就相信某人，這些應用目前未實施帳戶驗證流程;請始終仔細檢查個人簡歷，用戶名和鏈接的社交媒體聯系人是否真實。

3.僅授予必要的權限并共享所需的數據，例如，如果用戶不希望應用程序從其通訊錄中收集所有數據，則可以拒絕請求的權限。

4.基于對應用程序和通信協議的技術分析，研究人員建議當前和將來的服務提供商考慮實現以下功能，除非他們已經這樣做：

4.1不要在應用程序中存儲機密信息(例如憑據和API密鑰)。研究人員發現一些應用程序將憑證以明文形式嵌入到應用程序清單中，這將允許任何惡意參與者在第三方服務上模擬它們。

4.2提供加密的私人電話。雖然在性能和加密之間當然需要權衡取舍，但最新的消息傳遞應用程序支持加密的群組對話。雖然它們的用例有所不同，但研究人員認為，未來的純音頻社交網絡應提供與其基于文本的同等水平的隱私級別。例如，應使用安全實時傳輸協議(SRTP)代替RTP(實時傳輸協議)。

4.3用戶帳戶驗證。 目前，純音頻的社交網絡均不支持Twitter，Facebook或Instagram這樣的經過驗證的帳戶，而且研究人員已經看到其中有一些偽造帳戶。 在等待帳戶驗證功能被嵌入程序時，研究人員建議用戶手動檢查與之交互的帳戶是否為真實帳戶，例如，檢查關注者或關聯的社交網絡帳戶的數量。

4.4實時內容分析。 傳統社交網絡所面臨的所有內容審核挑戰在純音頻或純視頻社交網絡上都更加困難，因為從本質上講，分析音頻或視頻要比分析文本(即，語音到文本占用資源)更加困難。 一方面，如果這些服務實施內容檢查，則會帶來明顯的隱私挑戰(因為這意味著它們可以利用音頻流)。然而，內容檢查提供了一些好處，例如，對事件進行優先級排序。

本文翻譯自：https://www.trendmicro.com/en_us/research/21/b/security-risks-for-audio-centric-social-media-apps.html如若轉載，請注明原文地址。