纯音频社交应用(如ClubHouse、Riffr、Listen、Audlist、HearMeOut)近两年发展迅速,越来越受到用户的关注。但与任何其他技术一样,此类应用程序也存在巨大的安全风险。此外,这些风险中的大部分都可以自动化,从而帮助攻击者更轻松、更快速地传播这些攻击。重要的是要注意,这些应用程序本身并不具备恶意攻击的能力,恶意攻击来自网络攻击者寻找利用这些平台的方法。在本文中,研究人员通过分析这些应用程序(主要是ClubHouse,还有Riffr、Listen、Audlist和HearMeOut)来展示和概述这些风险。研究人员还分享了一些如何避免它们的建议,具体的研究报告可以在这里找到。研究人员的研究是在今年2月8日至11日之间进行的,截至发稿时,应用程序供应商可能已经或正在解决上述研究报告中描述的一些问题。最新的报道表明,黑客已经确认可以窃取Clubhouse的实时音频。Clubhouse女发言人RimaBanassi表示,一名身份不明的用户正在将Clubhouse的音频从“多个房间”流式传输到他们自己的第三方网站。虽然Clubhouse公司及时发现并表示将“永久禁止”用户使用,并为软件配备了新的“安全措施”,以防止此类事件再次发生。但仍有研究人员认为,Clubhouse平台可能永远无法兑现这样的承诺。近日,研究人员还独立获取并分析了据称用于“从ClubHouse泄露音频”的软件工具。经过分析,研究人员想强调的是,Clubhouse的实时音频泄露并非安全漏洞。开发人员创建了一个镜像站点,允许其他人使用开发人员的唯一帐户而不是他们的个人帐户来收听。虽然这肯定会违反服务条款,但绝不会使用任何特定的安全漏洞,最重要的是,镜像站点没有进行任何录音:音频仍然从ClubHouse服务器流式传输到请求客户端,而不是通过镜像地点。换句话说,该网站只不过是一个基于JavaScript的客户端,而不是iOS。尽管这种类型的服务滥用可能会变得更加困难,但没有任何Web服务或社交网络可以免受它们的影响,因为没有技术方法可以在不影响合法用户攻击可用性的情况下可靠地防止这种情况。在典型的以音频为中心的社交网络中,主要对象和数据以及它们之间的交互将电话呼叫与以音频为中心的应用程序呼叫的风险进行比较。使用电话与以音频为中心的电话通话的安全风险应用程序的安全风险是相同的,并且由于它们的性质相似,两种渠道都可能被窃听、拦截和非法录音。针对这两个平台的攻击也可以自动化,只是可能在更大程度上针对在线平台。这两种方法都可用于敲诈勒索,现成的深度伪造工具也有助于诈骗。但是,这些渠道的风险存在一些细微差别。首先是可以参与通话的人数,它可以决定可以窃取数据的程度或可以接收到不正确信息的人数。虽然手机通话一次只能容纳一小群人,但应用程序却可以容纳数千人。仅ClubHouse一个房间就可以容纳5,000人,即使与Facebook等非以语音为中心的在线社交网络相比,这个数字也相当可观。这意味着,如果攻击者决定窃取有关手机通话参与者的信息或损害用户的声誉,则成千上万的人可能成为受害者或听众。以此类推,可窃取的数据类型也各不相同。通过手机通话,可窃取的数据取决于接收方透露的内容。然而,在大多数以语音为中心的应用程序中,根据用户配置帐户的方式,潜在的攻击者还可以轻松访问照片、电话号码、电子邮件地址和其他个人身份信息(PII)等数据。另一种类型的攻击是用户冒充。虽然手机呼叫者也可以在手机通话期间冒充另一个人,但这种可信度在纯音频社交媒体应用程序中得到增强,因为恶意攻击者可以使用假人的照片和信息来创建假的个人资料。此外,研究人员在上述报告中详细介绍了以语音为中心的应用程序,例如某些在线平台,可用于启动命令与控制(C&C)隐蔽通道。纯音频社交网络平台的安全风险以下是一些可以针对以音频为中心的社交媒体应用程序用户的攻击示例。这些的全部细节可以在研究人员的完整技术简介中找到:1.网络流量拦截和窃听攻击者可以通过分析网络流量和寻找与RTC相关的数据包来了解通话双方的身份。以下截图来自研究人员使用ClubHouse应用程序的演示,展示了攻击者如何自动执行此过程并拦截RTC控制数据包,以获取与两个用户创建的私人聊天相关的敏感信息。自动网络分析和RTC数据包搜索截至发稿时,ClubHouse致力于实施适当的加密措施以防止此类攻击和相关攻击。2.用户冒充和深度伪造声音恶意用户可以冒充公众人物,通过伪造他们的声音让他们说出他们永远不会说的话,从而损害他们的声誉。攻击者还可以伪造声音并创建著名交易员的个人资料,以引诱用户进入聊天室并引诱他们进行投资。3.机会录音由于大多数(不是所有)应用程序的服务条款规定,大多数音频社交网络内容都是短暂的并且“仅供参与者使用”,但一些攻击者可以录音、复制帐户、自动跟踪帐户的所有联系人以使其看起来更真实,在取得相关联系人的信任后,邀请他们加入聊天室,并用假声说话,损害某人的名誉甚至欺诈业务。4.骚扰和勒索具体如何进行将取决于应用程序和网络的结构,例如,在某些平台上,跟踪受害者的攻击者也会在受害者进入公共房间时得到通知。在收到进入房间的通知后,攻击者也可以加入那个房间,让主持人发言,然后说些什么或播放预先录制的音频来勒索受害者。研究人员证实,所有这些都可以轻松编写脚本自动运行。幸运的是,大多数应用程序还具有阻止和报告滥用用户的功能。5.地下服务ClubHouse一上线,研究人员就在地表网络上发现了很多关于它的讨论。一些用户已经开始谈论购买追随者,一些所谓的开发人员承诺通过逆向工程API来创建机器人以换取邀请,研究人员也证实了这一点。论坛用户讨论出于营销目的制作或购买机器人服务的问题6.音频隐蔽通道使用这些平台,威胁行为者可以为C&C创建隐蔽通道或使用隐写术来隐藏或传输信息。如果以音频为中心的社交网络继续激增,攻击者可能会开始将它们作为可靠的攻击面:例如,攻击者可以创建多个房间并让机器人连接到它们以发送命令而不留下任何痕迹(加密录音除外),如果有的话)。缓解措施为确保音频应用程序的安全使用,研究人员向音频社交网络用户推荐以下安全最佳实践:1.加入公共房间,就好像您在公共场合讲话一样。用户只能说出他们愿意与公众分享的内容,因为有人可以在虚拟房间中进行录制,即使未经书面同意进行录制违反了大部分服务条款。2.不要只凭名字就相信某人,这些应用目前没有实现帐户验证过程;请始终仔细检查BIOS、用户名和链接的社交媒体联系人是否真实。3.仅授予必要的权限并共享所需的数据,例如,如果用户不希望该应用收集其联系人的所有数据,他们可以拒绝请求的权限。4.基于对应用程序和通信协议的技术分析,研究人员建议当前和未来的服务提供商考虑实现以下功能,除非他们已经这样做:4.1不要在应用程序中存储机密信息(例如凭据和API密钥)).研究人员发现,一些应用程序在应用程序清单中以明文形式嵌入凭据,这将允许任何恶意行为者在第三方服务上冒充它们。4.2提供加密私人通话。虽然性能和加密之间当然存在权衡,但最新的消息传递应用程序支持加密的群组对话。虽然他们的用例不同,但研究人员认为,未来的纯音频社交网络应该提供与基于文本的社交网络相同级别的隐私。例如,应使用安全实时传输协议(SRTP)而不是RTP(实时传输协议)。4.3用户账户验证。目前,没有任何纯音频社交网络支持经过验证的帐户,如Twitter、Facebook或Instagram,研究人员在其中发现了一些假帐户。在等待帐户验证功能嵌入程序的同时,研究人员建议用户手动检查他们正在交互的帐户是否是真实帐户,例如,通过检查关注者或关联的社交网络帐户的数量。4.4实时内容分析。传统社交网络面临的所有内容审核挑战在纯音频或纯视频社交网络上都更加困难,因为分析音频或视频本质上比分析文本更困难(即,语音到文本是资源密集型的).一方面,如果这些服务实施内容检查(因为这意味着它们可以利用音频流),则存在明显的隐私挑战。但是,内容检查提供了一些好处,例如确定事件的优先级。本文翻译自:https://www.trendmicro.com/en_us/research/21/b/security-risks-for-audio-centric-social-media-apps.html如有转载请注明出处。
