Federico Maggi, Senior Threat Researcher di Trend Micro, ha studiato e approfondito i rischi derivanti dalla diffusione dei social media audio.
La ricerca è stata condotta tra l’8 e l’11 febbraio 2021. Al momento della pubblicazione, alcuni dei problemi descritti potrebbero essere stati o essere in fase di risoluzione da parte dei fornitori delle app. I marchi qui menzionati sono stati informati dei risultati della ricerca.
Recentemente i social media basati su audio – come ClubHouse, Riffr, Listen, Audlist, e HearMeOut – hanno catturato l’interesse di un numero sempre maggiore di utenti. Come qualsiasi altra tecnologia però, app come queste non sono immuni dai rischi per la sicurezza.
Quali sono i rischi per la sicurezza degli utenti di queste nuove piattaforme social basate su audio? Qui di seguito una carrellata dei rischi di queste piattaforme.
Trend Micro rischi social media audio
Intercettazione del traffico di rete e intercettazioni in generale. Un utente malintenzionato può scoprire chi partecipa alla conversazione analizzando il traffico di rete. Questo processo può essere automatizzato e consente di ottenere informazioni riservate, anche riguardo alle chat private tra due o più utenti. In questo caso, ClubHouse è al lavoro per implementare opportune contromisure.
Clonazione della voce e deepfake. Un utente malintenzionato potrebbe impersonare un personaggio pubblico clonando la voce e utilizzandola per far dire cose che la persona non direbbe mai, con conseguenze anche gravi sulla reputazione. Potrebbe anche clonare la voce e creare un profilo falso di un trader, attirare gli utenti a unirsi in una stanza e avallare una determinata strategia finanziaria, per esempio.
Registrazione opportunistica. Come indicato nei termini di servizio della maggior parte (se non di tutte) le app, il contenuto della maggior parte dei social network solo audio è pensato per essere effimero e “solo per i partecipanti”. Questo non impedisce ai malintenzionati di effettuare registrazioni, clonare account, seguire automaticamente tutti i contatti dell’account per renderlo più autentico, unirsi a un’altra stanza e utilizzare il campione del discorso per far dire alla voce “clonata” frasi che possono compromettere la reputazione del personaggio “vittima.”
Molestie e ricatti. Tipicamente gli utenti ricevono una notifica quando gli utenti seguiti si uniscono a stanze pubbliche. Il meccanismo permette a un malintenzionato di sapere quando la propria vittima si unisce a una stanza pubblica. L’aggressore potrebbe quindi unirsi a quella stanza, chiedere al moderatore di parlare e dire qualcosa o trasmettere in streaming un audio preregistrato per ricattare o molestare la vittima. Questo processo può essere facilmente eseguito automaticamente tramite l’uso di script. Fortunatamente, la maggior parte delle app ha anche funzionalità per bloccare e segnalare utenti offensivi.
Servizi underground. Alcuni utenti stanno già discutendo circa l’acquisto di pacchetti di follower, con presunti sviluppatori che promettono di creare bot utilizzabili per black marketing. Sebbene illegali, questi servizi non costituiscono un rischio diretto per i dispositivi digitali del cliente, ma prevedono che il cliente interagisca con soggetti non accreditati e tipicamente interessati al profitto tramite attività illecite.
Canali audio nascosti. Utilizzando queste piattaforme, i cybercriminali possono utilizzare l’audio per creare cosiddetti “covert channel,” (ad esempio attraverso tecniche di steganografia), creando dei canali di comando e controllo (C&C). Se i social network audio continuano a essere popolari, gli aggressori possono considerarli un canale alternativo affidabile per future botnet.
Trend Micro rischi social media audio
I rischi dei social media audio. Come proteggersi?
Ecco alcuni suggerimenti per un uso sicuro degli strumenti social basati su audio:
Trend Micro rischi social media audio
Unirsi a stanze pubbliche e parlare come se si parlasse in pubblico. Gli utenti dovrebbero dire cose che direbbero solo in pubblico, in quanto c’è la possibilità che qualcuno, nella stanza virtuale, stia registrando (anche se la registrazione senza consenso scritto è contraria ai termini di servizio della maggior parte, se non di tutte, le app).
Non fidarsi di qualcuno solo per il suo nome. Queste piattaforme al momento non hanno processi di verifica dell’account. Meglio controllare sempre che la biografia, il nome utente e i contatti dei social media collegati siano autentici.
Concedere solo le autorizzazioni necessarie e condividere i dati strettamente indispensabili. Ad esempio, se gli utenti non vogliono che le app raccolgano tutti i dati dalla propria rubrica, possono negare l’autorizzazione e lo strumento continuerà a funzionare correttamente.
