Der Hype um die neue Social-Media-App Clubhouse ist ungebrochen. Doch wie steht es um die Sicherheit der Audio-only-App, wenn sie etwa bekannte Personen, wie Politiker, Unternehmenschefs oder Mitarbeiter in hohen Positionen nutzen? Kommentar von Udo Schneider, IoT Security Evangelist Europe bei Trend Micro.
Audio-basierte Social-Media-Apps, wie Clubhouse, HearMeOut oder Audlist erfreuen sich bei Nutzern großer Beliebtheit, sind jedoch mit einigen Sicherheitsrisiken verbunden. Cyberkriminelle machen sich diese zunutze, indem sie mit zumeist automatisierten Angriffen einfach und schnell auf die Schwachstellen im System zielen. Zwar überschneiden sich manche Sicherheitsrisiken audio-basierter Social-Media-Apps mit denjenigen der klassischen Telefonie, doch fällt der potentielle Schaden bei Clubhouse & Co wesentlich größer aus – bedenkt man, dass allein bei Clubhouse bis zu 5.000 Personen einen Raum betreten können. Durch die hohe Teilnehmerzahl steigt die Menge gefährdeter Daten und verbreitete Falschinformationen können einfach Tausende von Menschen erreichen.
Forschungsergebnisse zeigen Sicherheitslücken
- Abhören von privaten Informationen: Indem ein Angreifer den Netzwerkverkehr analysiert, sieht er, wer mit wem spricht. Darüber hinaus automatisieren Angreifer diesen Prozess und können sensible Informationen eines privaten Chats abhören.
- Identitätsbetrug und Deepfake Voice: Angreifer nehmen eine falsche Identität an und können die Fake-Person durch das Klonen der Stimme beliebige Aussagen treffen lassen.
- Aufnahmen für opportunistische Zwecke: Stimmaufnahmen können im Rahmen eines Identitätsbetrugs dazu genutzt werden, Benutzerkonten zu klonen, den Ruf des ursprünglichen Sprechers zu schädigen oder betrügerische Vertragsabschlüsse durchzuführen.
- Belästigung und Erpressung: Abhängig von der Struktur der App haben Angreifer die Möglichkeit etwas zu sagen oder vorab aufgezeichnetes Audio-Material zu streamen, mit dem sie das Opfer erpressen. Dies läuft mittlerweile automatisiert ab, indem Cyberkriminelle passende Skripte erstellen.
- Erkaufte Follower: Unseren Forschungen zufolge ist es angeblichen Entwicklern möglich, die API (Application Programming Interface) zurückzuentwickeln, um einen Bot im Austausch für eine Einladung zu erstellen. So können beispielsweise Follower hinzugekauft werden.
- Verdeckte Audiokanäle: Cyberkriminelle können verdeckte Kanäle für C&C-Server erstellen oder Informationen innerhalb von digitalen Objekten verstecken oder übertragen.
Den vollständigen Report Mind Your Voice: Security Risks and Recommendations for Audio-centric Social Media Platforms lässt sich online abrufen.
Mehr dazu bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..