只使用音频的社交媒体应用程序(例如ClubHouse,Riffr,Listen,Audlist和HearMeOut)这两年发展的比较火,正吸引着越来越多用户的兴趣,但就像其他任何技术一样,这类应用程序也存在着巨大安全风险。
此外,这些风险中的大多数都可以自动化,帮助攻击者更容易、更快地传播这些攻击。需要注意的是,这些应用本身并没有恶意攻击的功能,这些攻击来自寻找利用这些平台方法的网络攻击者。
在这篇文章中,研究人员通过分析这些应用程序(主要是ClubHouse,但也包括Riffr、Listen、Audlist和HearMeOut)来论证和概述这些风险。研究人员也分享了一些关于如何避免它们的建议,具体的研究报告请点此。
研究人员的研究是在今年2月8日至11日进行的,截止发稿时,应用程序供应商可能已经或正在修复本上述研究报告中描述的一些问题。最新报道表明,已经有网络黑客证实了Clubhouse的实时音频是可以被窃取的。Clubhouse发言人瑞玛·巴纳西称,有一位身份不明的用户将Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。虽然Clubhouse公司及时发现并且表示将“永久禁止”这一用户的使用,而且为软件配备了新的“安全措施”以防止此类事件再次出现。但仍有研究人员认为,Clubhouse平台可能永远无法兑现这样的承诺。
近日研究人员还独立获得并分析了据称用于“从ClubHouse泄露音频”的软件工具,经过分析后,研究人员想强调的是Clubhouse的实时音频泄漏并不是一个安全漏洞。开发人员创建了一个镜像网站,该镜像网站允许其他人使用开发人员的唯一帐户而不是他们的个人账户进行监听。虽然这肯定会破坏服务条款,但绝没有使用任何特定的安全漏洞,而且最重要的是,镜像网站未进行任何录音:音频仍从ClubHouse服务器流向发出请求的客户端,从来没有通过镜像网站。换句话说,这个网站只不过是一个基于JavaScript而不是iOS的客户端。尽管这种类型的服务滥用可能会变得更加困难,但没有web服务或社交网络能够免受它们的影响,因为在不影响合法用户可用性的情况下,没有技术上的方法可以可靠地预防这种攻击。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
