Trend Micro zur Sicherheit von Clubhouse

Kommentar von Udo Schneider, IoT Security Evangelist Europe bei Trend Micro zur Sicherheit von Clubhouse & Co.

Audio-basierte Social-Media-Apps, wie „Clubhouse“, „HearMeOut“ oder „Audlist“ erfreuen sich bei Nutzern großer Beliebtheit, sind jedoch mit einigen Sicherheitsrisiken verbunden. Cyberkriminelle machen sich diese zunutze, indem sie mit zumeist automatisierten Angriffen einfach und schnell auf die Schwachstellen im System zielen. Zwar überschneiden sich manche Sicherheitsrisiken audiobasierter Social-Media-Apps mit denjenigen der klassischen Telefonie, doch fällt der potenzielle Schaden bei Clubhouse & Co wesentlich größer aus – bedenkt man, dass allein bei Clubhouse bis zu 5.000 Personen einen Raum betreten können. Durch die hohe Teilnehmerzahl steigt die Menge gefährdeter Daten und verbreitete Falschinformationen können einfach Tausende von Menschen erreichen.

Die Forschungsergebnisse von Trend Micro zeigen unter anderem folgende Sicherheitslücken:

1. Abhören von privaten Informationen: Indem ein Angreifer den Netzwerkverkehr analysiert, sieht er, wer mit wem spricht. Darüber hinaus automatisieren Angreifer diesen Prozess und können sensible Informationen eines privaten Chats abhören.
2. Identitätsbetrug und Deepfake-Voice: Angreifer nehmen eine falsche Identität an und können die Fake-Person durch das Klonen der Stimme beliebige Aussagen treffen lassen.
3. Aufnahmen für opportunistische Zwecke: Stimmaufnahmen können im Rahmen eines Identitätsbetrugs dazu genutzt werden, Benutzerkonten zu klonen, den Ruf des ursprünglichen Sprechers zu schädigen oder betrügerische Vertragsabschlüsse durchzuführen.
4. Belästigung und Erpressung: Abhängig von der Struktur der App haben Angreifer die Möglichkeit etwas zu sagen oder vorab aufgezeichnetes Audio-Material zu streamen, mit dem sie das Opfer erpressen. Dies läuft mittlerweile automatisiert ab, indem Cyberkriminelle passende Skripte erstellen.
5. Erkaufte Follower: Unseren Forschungen zufolge ist es angeblichen Entwicklern möglich, die API (Application Programming Interface) zurückzuentwickeln, um einen Bot im Austausch für eine Einladung zu erstellen. So können beispielsweise Follower hinzugekauft werden.
6. Verdeckte Audiokanäle: Cyberkriminelle können verdeckte Kanäle für C&C-Server erstellen oder Informationen innerhalb von digitalen Objekten verstecken oder übertragen.

Um sicher in den neuen sozialen Medien unterwegs zu sein, empfehlen wir ein paar wichtige Grundregeln. Da immer die Möglichkeit besteht, dass jemand Sie im virtuellen Raum aufnimmt oder abhört, treffen Sie nur Aussagen, die Sie auch abseits der digitalen Welt in der Öffentlichkeit treffen würden. Apps wie Clubhouse haben derzeit keinen Prozess zur Kontoverifizierung. Überprüfen sie daher immer doppelt ob Biografie, Benutzername und verknüpfte Kontakte im sozialen Netzwerk authentisch sind. Gewähren Sie darüber hinaus nur notwendige Berechtigungen und verweigern Sie der App zum Beispiel, dass sie auf alle Daten in ihrem Adressbuch zugreifen kann.

Den vollständigen Report Mind Your Voice: Security Risks and Recommendations for Audio-centric Social Media Platforms lässt sich  hier abrufen.

#TrendMicro