U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。
只使用音频的社交媒体应用程序(例如ClubHouse,Riffr,Listen,Audlist和HearMeOut)这两年生长的对照火,正吸引着越来越多用户的兴趣,但就像其他任何手艺一样,这类应用程序也存在着伟大平安风险。
此外,这些风险中的大多数都可以自动化,辅助攻击者更容易、更快地流传这些攻击。需要注重的是,这些应用自己并没有恶意攻击的功效,这些攻击来自寻找行使这些平台方式的网络攻击者。
在这篇文章中,研究职员通太过析这些应用程序(主要是ClubHouse,但也包罗Riffr、Listen、Audlist和HearMeOut)来论证和概述这些风险。研究职员也分享了一些关于若何制止它们的建议,详细的研究讲述请点此。
研究职员的研究是在今年2月8日至11日举行的,停止发稿时,应用程序供应商可能已经或正在修复本上述研究讲述中形貌的一些问题。最新报道注释,已经有网络黑客证实了Clubhouse的实时音频是可以被窃取的。Clubhouse谈话人瑞玛·巴纳西称,有一位身份不明的用户将Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。虽然Clubhouse公司实时发现而且示意将“永远制止”这一用户的使用,而且为软件配备了新的“平安措施”以防止此类事宜再次泛起。但仍有研究职员以为,Clubhouse平台可能永远无法兑现这样的准许。
克日研究职员还自力获得并剖析了据称用于“从ClubHouse泄露音频”的软件工具,经太过析后,研究职员想强调的是Clubhouse的实时音频泄露并不是一个平安破绽。开发职员确立了一个镜像网站,该镜像网站允许其他人使用开发职员的唯一帐户而不是他们的小我私人账户举行监听。虽然这一定会损坏服务条款,但绝没有使用任何特定的平安破绽,而且最主要的是,镜像网站未举行任何录音:音频仍从ClubHouse服务器流向发出请求的客户端,从来没有通过镜像网站。换句话说,这个网站只不外是一个基于JavaScript而不是iOS的客户端。只管这种类型的服务滥用可能会变得加倍难题,但没有web服务或社交网络能够免受它们的影响,由于在不影响正当用户可用性的情形下,没有手艺上的方式可以可靠地预防这种攻击。
在典型的以音频为中央的社交网络中,主要工具和数据以及它们之间的交互
对照手机通话和以音频为中央的应用程序通话的风险
使用手机的平安风险与使用以音频为中央的手机通话应用程序的平安风险是相同的,由于它们的性子相似,两个频道都可以被窃听、阻挡和非法纪录。针对这两个平台的攻击也可以自动举行,只是可能在更洪水平上针对在线平台。这两种手段都可被用于诓骗勒索,而现成的Deepfake工具也有助于举行诈骗。然则,这些渠道的风险存在一些细微的差异。
首先是可以介入通话的人数,这可以决议可以被窃取的数据局限或可以吸收不准确信息的人数。手机通话一次只能容纳一小群人,而应用程序可以容纳数千人。仅ClubHouse一个房间就可以容纳5000人,纵然与Facebook等非语音中央的在线社交网络相比,这个数字也是相当可观的。这意味着,若是攻击者决议窃取手机通话介入者的信息或损坏用户的声誉,成千上万的人可能成为受害者或听众。
依次类推,可以被窃取的数据类型也各不相同。通过手机通话,可能被窃取的数据取决于吸收者披露的内容。而在大多数以语音为中央的应用中,则取决于用户设置帐户的方式,潜在的攻击者也可以很容易地接见这些数据,例如照片、电话号码、电子邮件地址和其他小我私人身份信息(PII)。
另一个攻击方式则是用户模拟,虽然手机通话者也可以在手机通话中冒充另一小我私人的身份,然则在纯音频的社交媒体应用中,这种可信度获得了提高,由于恶意攻击者可以使用冒充的人的照片和信息来确立虚伪的小我私人资料。
此外,以语音为中央的应用程序,如一些在线平台,可以用来启动下令与控制(C&C)的隐藏通道,研究职员在上述讲述中对此作了详细论述。
纯音频社交网络平台的平安风险
以下是一些可以针对以音频为中央的社交媒体应用程序用户的攻击示例。这些的所有细节可以在研究职员的所有手艺简介中找到:
1.网络流量阻挡和窃听
攻击者可以通太过析网络流量并查找与RTC相关的数据包来领会通话双方的身份,以下截屏来自研究职员使用ClubHouse应用程序举行的演示,显示了攻击者若何自动执行此历程并阻挡RTC控制数据包,以获取与其中两个用户确立的私人谈天相关的敏感信息。
自动化网络剖析和RTC数据包搜索
停止发稿时,ClubHouse准许将接纳适当的加密措施来防止此类及相关的攻击。
2.用户模拟和Deepfake语音
,,U交所(www.9cx.net),全球頂尖的USDT場外擔保交易平臺。
恶意用户可能会冒充一个公共人物,并通过伪造其声音使他们说出他们永远不会说的话,从而对其声誉造成影响。攻击者还可以伪造声音,并确立著名生意员的小我私人资料,吸引用户加入一个谈天室,诱惑他们举行投资。
3.投契取巧的纪录
正如大多数(不是所有)应用程序的服务条款所述,大多数音频社交网络的内容都是短暂保留的,而且“仅供介入者使用”,然则某些攻击者可以举行录音、复制帐户、自动跟踪帐户的所有联系人以使其看起来加倍真实,在获取相关联系人信托后,就约请他们加入谈天室,并使用伪造的声音说说一些话,损坏别人声誉甚至是敲诈营业。
4.骚扰和勒索
若何现实执行此操作将取决于应用程序和网络的结构,例如,在某些平台上,跟踪受害者的攻击者将在受害者进入公共房间时也同时获得通知。收到进入房间的通知后,攻击者也可以加入谁人房间,请主持人谈话,然后说些什么或者播放预先录制的音频来勒索受害者。研究职员验证了所有这些都可以很容易地通过编写剧本自动运行。幸运的是,大多数应用程序也有阻止和举报滥用用户的功效。
5.地下服务
ClubHouse刚上线,研究职员就在surface Web上发现了许多关于它的讨论。一些用户已经最先讨论购置关注者,一些所谓的开发职员准许对API举行反向工程以确立僵尸程序以换取约请,研究职员也证实了这是可行的。
论坛用户讨论出于营销目的制作或购置僵尸程序服务的问题
6.音频隐藏通道
使用这些平台,威胁介入者可以确立隐秘渠道举行C&C或使用隐写术隐藏或传输信息。若是以音频为中央的社交网络继续增添,攻击者可能会最先将它们定位为可靠的攻击面:例如,攻击者可以确立多个房间,并让僵尸程序毗邻它们来调剂下令,而且不会留下任何痕迹(除了加密的录音,若是有的话)。
缓解措施
为确保音频应用程序的平安使用,研究职员向音频社交网络用户推荐以下最佳平安防护做法:
1. 加入公共房间,就像在公共场所讲话一样。用户只能说自己愿意与民众共享的内容,由于有可能有人在虚拟房间里录音,纵然未经书面赞成录音违反了大部门服务条款,也会有人这么做。
2.不要仅凭名字就信托某人,这些应用现在未实行帐户验证流程;请始终仔细检查小我私人简历,用户名和链接的社交媒体联系人是否真实。
3.仅授予需要的权限并共享所需的数据,例如,若是用户不希望应用程序从其通讯录中网络所有数据,则可以拒绝请求的权限。
4.基于对应用程序和通讯协议的手艺剖析,研究职员建议当前和未来的服务提供商思量实现以下功效,除非他们已经这样做:
4.1不要在应用程序中存储隐秘信息(例如凭证和API密钥)。研究职员发现一些应用程序将凭证以明文形式嵌入到应用程序清单中,这将允许任何恶意介入者在第三方服务上模拟它们。
4.2提供加密的私人电话。虽然在性能和加密之间固然需要权衡取舍,但最新的新闻通报应用程序支持加密的群组对话。虽然它们的用例有所差异,但研究职员以为,未来的纯音频社交网络应提供与其基于文本的一致水平的隐私级别。例如,应使用平安实时传输协议(SRTP)取代RTP(实时传输协议)。
4.3用户帐户验证。 现在,纯音频的社交网络均不支持Twitter,Facebook或Instagram这样的经由验证的帐户,而且研究职员已经看到其中有一些伪造帐户。 在守候帐户验证功效被嵌入程序时,研究职员建议用户手动检查与之交互的帐户是否为真实帐户,例如,检查关注者或关联的社交网络帐户的数目。
4.4实时内容剖析。 传统社交网络所面临的所有内容审核挑战在纯音频或纯视频社交网络上都加倍难题,由于从本质上讲,剖析音频或视频要比剖析文本(即,语音到文本占用资源)加倍难题。 一方面,若是这些服务实行内容检查,则会带来显著的隐私挑战(由于这意味着它们可以行使音频流)。然而,内容检查提供了一些利益,例如,对事宜举行优先级排序。
本文翻译自:https://www.trendmicro.com/en_us/research/21/b/security-risks-for-audio-centric-social-media-apps.html: ag区块链百家乐声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:usdt在哪里可以交易(www.payusdt.vip):音频社交媒体应用程序的平安风险
一家人都在看了
没废话,我喜欢