日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

只使用音頻的社交媒體應(yīng)用程序(例如ClubHouse，Riffr，Listen，Audlist和HearMeOut)這兩年發(fā)展的比較火，正吸引著越來越多用戶的興趣，但就像其他任何技術(shù)一樣，這類應(yīng)用程序也存在著巨大安全風(fēng)險。

成都創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司，專注網(wǎng)站制作、成都做網(wǎng)站、網(wǎng)站營銷推廣，申請域名，雅安服務(wù)器托管，網(wǎng)站托管、服務(wù)器租用有關(guān)企業(yè)網(wǎng)站制作方案、改版、費(fèi)用等問題，請聯(lián)系成都創(chuàng)新互聯(lián)。

此外，這些風(fēng)險中的大多數(shù)都可以自動化，幫助攻擊者更容易、更快地傳播這些攻擊。需要注意的是，這些應(yīng)用本身并沒有惡意攻擊的功能，這些攻擊來自尋找利用這些平臺方法的網(wǎng)絡(luò)攻擊者。

在這篇文章中，研究人員通過分析這些應(yīng)用程序(主要是ClubHouse，但也包括Riffr、Listen、Audlist和HearMeOut)來論證和概述這些風(fēng)險。研究人員也分享了一些關(guān)于如何避免它們的建議，具體的研究報告請點(diǎn)此。

研究人員的研究是在今年2月8日至11日進(jìn)行的，截止發(fā)稿時，應(yīng)用程序供應(yīng)商可能已經(jīng)或正在修復(fù)本上述研究報告中描述的一些問題。最新報道表明，已經(jīng)有網(wǎng)絡(luò)黑客證實(shí)了Clubhouse的實(shí)時音頻是可以被竊取的。Clubhouse發(fā)言人瑞瑪·巴納西稱，有一位身份不明的用戶將Clubhouse的音頻從“多個房間”傳送到他們自己的第三方網(wǎng)站上。雖然Clubhouse公司及時發(fā)現(xiàn)并且表示將“永久禁止”這一用戶的使用，而且為軟件配備了新的“安全措施”以防止此類事件再次出現(xiàn)。但仍有研究人員認(rèn)為，Clubhouse平臺可能永遠(yuǎn)無法兌現(xiàn)這樣的承諾。

近日研究人員還獨(dú)立獲得并分析了據(jù)稱用于“從ClubHouse泄露音頻”的軟件工具，經(jīng)過分析后，研究人員想強(qiáng)調(diào)的是Clubhouse的實(shí)時音頻泄漏并不是一個安全漏洞。開發(fā)人員創(chuàng)建了一個鏡像網(wǎng)站，該鏡像網(wǎng)站允許其他人使用開發(fā)人員的唯一帳戶而不是他們的個人賬戶進(jìn)行監(jiān)聽。雖然這肯定會破壞服務(wù)條款，但絕沒有使用任何特定的安全漏洞，而且最重要的是，鏡像網(wǎng)站未進(jìn)行任何錄音：音頻仍從ClubHouse服務(wù)器流向發(fā)出請求的客戶端，從來沒有通過鏡像網(wǎng)站。換句話說，這個網(wǎng)站只不過是一個基于JavaScript而不是iOS的客戶端。盡管這種類型的服務(wù)濫用可能會變得更加困難，但沒有web服務(wù)或社交網(wǎng)絡(luò)能夠免受它們的影響，因為在不影響合法用戶可用性的情況下，沒有技術(shù)上的方法可以可靠地預(yù)防這種攻擊。

在典型的以音頻為中心的社交網(wǎng)絡(luò)中，主要對象和數(shù)據(jù)以及它們之間的交互

比較手機(jī)通話和以音頻為中心的應(yīng)用程序通話的風(fēng)險

使用手機(jī)的安全風(fēng)險與使用以音頻為中心的手機(jī)通話應(yīng)用程序的安全風(fēng)險是相同的，由于它們的性質(zhì)相似，兩個頻道都可以被竊聽、攔截和非法記錄。針對這兩個平臺的攻擊也可以自動進(jìn)行，只是可能在更大程度上針對在線平臺。這兩種手段都可被用于敲詐勒索，而現(xiàn)成的Deepfake工具也有助于進(jìn)行詐騙。但是，這些渠道的風(fēng)險存在一些細(xì)微的差異。

首先是可以參與通話的人數(shù)，這可以決定可以被竊取的數(shù)據(jù)范圍或可以接收不正確信息的人數(shù)。手機(jī)通話一次只能容納一小群人，而應(yīng)用程序可以容納數(shù)千人。僅ClubHouse一個房間就可以容納5000人，即使與Facebook等非語音中心的在線社交網(wǎng)絡(luò)相比，這個數(shù)字也是相當(dāng)可觀的。這意味著，如果攻擊者決定竊取手機(jī)通話參與者的信息或破壞用戶的聲譽(yù)，成千上萬的人可能成為受害者或聽眾。

依次類推，可以被竊取的數(shù)據(jù)類型也各不相同。通過手機(jī)通話，可能被竊取的數(shù)據(jù)取決于接收者披露的內(nèi)容。而在大多數(shù)以語音為中心的應(yīng)用中，則取決于用戶配置帳戶的方式，潛在的攻擊者也可以很容易地訪問這些數(shù)據(jù)，例如照片、電話號碼、電子郵件地址和其他個人身份信息(PII)。

另一個攻擊方式則是用戶模擬，雖然手機(jī)通話者也可以在手機(jī)通話中冒充另一個人的身份，但是在純音頻的社交媒體應(yīng)用中，這種可信度得到了提高，因為惡意攻擊者可以使用假冒的人的照片和信息來創(chuàng)建虛假的個人資料。

此外，以語音為中心的應(yīng)用程序，如一些在線平臺，可以用來啟動命令與控制(C&C)的隱蔽通道，研究人員在上述報告中對此作了詳細(xì)闡述。

純音頻社交網(wǎng)絡(luò)平臺的安全風(fēng)險

以下是一些可以針對以音頻為中心的社交媒體應(yīng)用程序用戶的攻擊示例。這些的全部細(xì)節(jié)可以在研究人員的全部技術(shù)簡介中找到:

1.網(wǎng)絡(luò)流量攔截和竊聽

攻擊者可以通過分析網(wǎng)絡(luò)流量并查找與RTC相關(guān)的數(shù)據(jù)包來了解通話雙方的身份，以下截屏來自研究人員使用ClubHouse應(yīng)用程序進(jìn)行的演示，顯示了攻擊者如何自動執(zhí)行此過程并攔截RTC控制數(shù)據(jù)包，以獲取與其中兩個用戶創(chuàng)建的私人聊天相關(guān)的敏感信息。

自動化網(wǎng)絡(luò)分析和RTC數(shù)據(jù)包搜索

截止發(fā)稿時，ClubHouse承諾將采取適當(dāng)?shù)募用艽胧﹣矸乐勾祟惣跋嚓P(guān)的攻擊。

2.用戶模擬和Deepfake語音

惡意用戶可能會冒充一個公共人物，并通過偽造其聲音使他們說出他們永遠(yuǎn)不會說的話，從而對其聲譽(yù)造成影響。攻擊者還可以偽造聲音，并創(chuàng)建著名交易員的個人資料，吸引用戶加入一個聊天室，誘惑他們進(jìn)行投資。

3.投機(jī)取巧的記錄

正如大多數(shù)(不是全部)應(yīng)用程序的服務(wù)條款所述，大多數(shù)音頻社交網(wǎng)絡(luò)的內(nèi)容都是短暫保存的，并且“僅供參與者使用”，但是某些攻擊者可以進(jìn)行錄音、復(fù)制帳戶、自動跟蹤帳戶的所有聯(lián)系人以使其看起來更加真實(shí)，在獲取相關(guān)聯(lián)系人信任后，就邀請他們加入聊天室，并使用偽造的聲音說說一些話，破壞別人聲譽(yù)甚至是欺詐業(yè)務(wù)。

4.騷擾和勒索

如何實(shí)際執(zhí)行此操作將取決于應(yīng)用程序和網(wǎng)絡(luò)的結(jié)構(gòu)，例如，在某些平臺上，跟蹤受害者的攻擊者將在受害者進(jìn)入公共房間時也同時得到通知。收到進(jìn)入房間的通知后，攻擊者也可以加入那個房間，請主持人發(fā)言，然后說些什么或者播放預(yù)先錄制的音頻來勒索受害者。研究人員驗證了所有這些都可以很容易地通過編寫腳本自動運(yùn)行。幸運(yùn)的是，大多數(shù)應(yīng)用程序也有阻止和舉報濫用用戶的功能。

5.地下服務(wù)

ClubHouse剛上線，研究人員就在surface Web上發(fā)現(xiàn)了很多關(guān)于它的討論。一些用戶已經(jīng)開始討論購買關(guān)注者，一些所謂的開發(fā)人員承諾對API進(jìn)行反向工程以創(chuàng)建僵尸程序以換取邀請，研究人員也證實(shí)了這是可行的。

論壇用戶討論出于營銷目的制作或購買僵尸程序服務(wù)的問題

6.音頻隱蔽通道

使用這些平臺，威脅參與者可以創(chuàng)建隱秘渠道進(jìn)行C&C或使用隱寫術(shù)隱藏或傳輸信息。如果以音頻為中心的社交網(wǎng)絡(luò)繼續(xù)增加，攻擊者可能會開始將它們定位為可靠的攻擊面：例如，攻擊者可以創(chuàng)建多個房間，并讓僵尸程序連接它們來調(diào)度命令，并且不會留下任何痕跡(除了加密的錄音，如果有的話)。

緩解措施

為確保音頻應(yīng)用程序的安全使用，研究人員向音頻社交網(wǎng)絡(luò)用戶推薦以下最佳安全防護(hù)做法：

1. 加入公共房間，就像在公共場合講話一樣。用戶只能說自己愿意與公眾共享的內(nèi)容，因為有可能有人在虛擬房間里錄音，即使未經(jīng)書面同意錄音違反了大部分服務(wù)條款，也會有人這么做。

2.不要僅憑名字就相信某人，這些應(yīng)用目前未實(shí)施帳戶驗證流程;請始終仔細(xì)檢查個人簡歷，用戶名和鏈接的社交媒體聯(lián)系人是否真實(shí)。

3.僅授予必要的權(quán)限并共享所需的數(shù)據(jù)，例如，如果用戶不希望應(yīng)用程序從其通訊錄中收集所有數(shù)據(jù)，則可以拒絕請求的權(quán)限。

4.基于對應(yīng)用程序和通信協(xié)議的技術(shù)分析，研究人員建議當(dāng)前和將來的服務(wù)提供商考慮實(shí)現(xiàn)以下功能，除非他們已經(jīng)這樣做：

4.1不要在應(yīng)用程序中存儲機(jī)密信息(例如憑據(jù)和API密鑰)。研究人員發(fā)現(xiàn)一些應(yīng)用程序?qū){證以明文形式嵌入到應(yīng)用程序清單中，這將允許任何惡意參與者在第三方服務(wù)上模擬它們。

4.2提供加密的私人電話。雖然在性能和加密之間當(dāng)然需要權(quán)衡取舍，但最新的消息傳遞應(yīng)用程序支持加密的群組對話。雖然它們的用例有所不同，但研究人員認(rèn)為，未來的純音頻社交網(wǎng)絡(luò)應(yīng)提供與其基于文本的同等水平的隱私級別。例如，應(yīng)使用安全實(shí)時傳輸協(xié)議(SRTP)代替RTP(實(shí)時傳輸協(xié)議)。

4.3用戶帳戶驗證。 目前，純音頻的社交網(wǎng)絡(luò)均不支持Twitter，F(xiàn)acebook或Instagram這樣的經(jīng)過驗證的帳戶，而且研究人員已經(jīng)看到其中有一些偽造帳戶。 在等待帳戶驗證功能被嵌入程序時，研究人員建議用戶手動檢查與之交互的帳戶是否為真實(shí)帳戶，例如，檢查關(guān)注者或關(guān)聯(lián)的社交網(wǎng)絡(luò)帳戶的數(shù)量。

4.4實(shí)時內(nèi)容分析。 傳統(tǒng)社交網(wǎng)絡(luò)所面臨的所有內(nèi)容審核挑戰(zhàn)在純音頻或純視頻社交網(wǎng)絡(luò)上都更加困難，因為從本質(zhì)上講，分析音頻或視頻要比分析文本(即，語音到文本占用資源)更加困難。 一方面，如果這些服務(wù)實(shí)施內(nèi)容檢查，則會帶來明顯的隱私挑戰(zhàn)(因為這意味著它們可以利用音頻流)。然而，內(nèi)容檢查提供了一些好處，例如，對事件進(jìn)行優(yōu)先級排序。

本文翻譯自：https://www.trendmicro.com/en_us/research/21/b/security-risks-for-audio-centric-social-media-apps.html如若轉(zhuǎn)載，請注明原文地址。

網(wǎng)站欄目：音頻社交媒體應(yīng)用程序的安全風(fēng)險
標(biāo)題網(wǎng)址：http://www.dlmjj.cn/article/coodced.html