Le battage médiatique autour de la nouvelle application de médias sociaux Clubhouse est ininterrompu. Mais qu'en est-il de la sécurité de l'application uniquement audio si elle est utilisée par des personnes connues telles que des politiciens, des chefs d'entreprise ou des employés occupant des postes élevés ? Commentaire d'Udo Schneider, IoT Security Evangelist Europe chez Trend Micro.
Les applications de médias sociaux basées sur l'audio telles que Clubhouse, HearMeOut ou Audlist sont très populaires auprès des utilisateurs, mais comportent certains risques de sécurité. Les cybercriminels en profitent en ciblant rapidement et facilement les points faibles du système avec des attaques principalement automatisées. Bien que certains risques de sécurité des applications de médias sociaux basés sur l'audio chevauchent ceux de la téléphonie classique, les dommages potentiels avec Clubhouse & Co sont bien plus importants - si l'on considère que jusqu'à 5.000 XNUMX personnes peuvent entrer dans une pièce au Clubhouse seul. Le nombre élevé de participants augmente la quantité de données à risque et la diffusion de fausses informations peut facilement atteindre des milliers de personnes.
Les résultats de la recherche montrent des failles de sécurité
- Interception d'informations privées : En analysant le trafic réseau, un attaquant peut voir qui parle à qui. De plus, les attaquants automatisent ce processus et peuvent espionner des informations sensibles d'un chat privé.
- Fraude d'identité et Deepfake Voice : Les attaquants prennent une fausse identité et peuvent obliger la fausse personne à faire des déclarations en clonant la voix.
- Enregistrements à des fins opportunistes : Les enregistrements vocaux peuvent être utilisés dans l'usurpation d'identité pour cloner des comptes d'utilisateurs, salir la réputation de l'orateur d'origine ou effectuer des contrats frauduleux.
- Harcèlement et extorsion : Selon la structure de l'application, les attaquants ont la possibilité de dire quelque chose ou de diffuser de l'audio préenregistré, qu'ils utilisent pour faire chanter la victime. Ceci est maintenant automatisé, les cybercriminels créant des scripts appropriés.
- Abonnés achetés : D'après nos recherches, il est possible que des développeurs présumés procèdent à l'ingénierie inverse de l'API (Application Programming Interface) pour créer un bot en échange d'une invitation. Par exemple, les abonnés peuvent être achetés.
- Canaux audio cachés : Les cybercriminels peuvent créer des canaux secrets pour les serveurs C&C ou cacher ou transmettre des informations à l'intérieur d'objets numériques.
Le rapport complet Mind Your Voice: Security Risks and Recommendations for Audio-centric Social Media Platforms est disponible en ligne.
En savoir plus sur TrendMicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.