Dopo aver analizzato le vulnerabilità di Clubhouse, stilate dal team di Avira, ecco una serie di rischi (e qualche suggerimento) redatti dallo staff di Trend Micro, in seguito all’esplosione di social network basati su audio, come Clubhouse, Riffr, Listen, Audlist e HearMeOut. Prima di iscriversi a qualsiasi social network, la prima cosa da fare è accertarsi della finalità della piattaforma e dell’utilizzo che essa farà dei dati personali immessi all’iscrizione. Poi però è bene chiedersi se è possibile andare incontro ad altri rischi che magari non viene naturale calcolare, per diversi motivi. Lo staff di Trend Micro ha individuato una serie di rischi a cui si può incorrere sui social network audio, più tre suggerimenti da mettere in pratica per tutelarsi.
Intercettazione e intercettazione del traffico
Utenti malintenzionati possono scoprire chi partecipa alle conversazioni, studiando il traffico di rete. Un processo che può essere automatizzato e consente di ottenere info riservate, anche tra chat private tra due o più utenti. Secondo quanto riporta Trend Micro, Clubhouse sarebbe già al lavoro per implementare contromisure.
Rischi social network audio: clonazione voce e deepfake
Con gli strumenti facilmente reperibili, è possibile clonare la voce per manipolarla e far dire cose ad una persona che altrimenti non direbbe mai, con conseguenze dirette sulla propria reputazione. Possibile oltre la clonazione, la creazione di un profilo falso a scopo economico, per avallare una strategia finanziaria, ma può essere uno dei molti esempi percorribili.
Registrazione opportunistica
In genere come riportato nei termini di servizio di quasi tutti i social network audio menzionati in apertura, i contenuti audio sono effimeri e solo per i partecipanti. Ciò però non impedisce ai malintenzionati di registrare conversazioni, clonare account, seguire i contatti dell’account per renderlo autentico, unirsi a stanze e utilizzare il campione del discorso per far dire alla voce clonata frasi costruite da zero e per niente veritiere, per ledere la reputazione della vittima.
Molestie e ricatti
Quando gli utenti seguiti si uniscono a stanze pubbliche gli utenti in genere ricevono una notifica. Ciò comporta la possibilità per un malintenzionato di conoscere quando la vittima si unisce in una stanza pubblica. Così facendo si può unire alla stanza anche lui, chiedere al moderatore di parlare e dire qualcosa o trasmettere un audio preregistrato per ricattare o molestare il malcapitato. Un processo facilmente eseguito automaticamente attraverso script. Tuttavia molte app dispongono di funzionalità per bloccare e segnalare utenti con scopi poco nobili.
Servizi underground
Si parla già di acquisto di follower, con fantomatici sviluppatori che promettono bot per black marketing. Sono illegali, ma non costituiscono un rischio diretto per i terminali dei clienti. Tuttavia il cliente può interagire con soggetti non accreditati, interessati al profitto tramite attività illecite.
Canali audio nascosti nei social network audio
Con queste piattaforme, i cybercriminali possono utilizzare l’audio per creare “covert channel”, attraverso tecniche di steganografia, creando canali di comando e controllo. Se i social network audio continuano a essere popolari, gli aggressori possono considerarli un canale alternativo affidabile per future botnet.
Come proteggersi quando ci si iscrive ai social network audio?
Trend Micro suggerisce agli utenti che si uniscono a stanze pubbliche di mantenere un comportamento come se si parlasse in pubblico. Bisognerebbe dire cose che si direbbero solo in pubblico, in quanto qualcuno nella stanza potrebbe registrare la conversazione. Tuttavia, la registrazione senza consenso scritto è contraria ai termini della maggior parte delle app. Non bisogna fidarsi di qualcuno solo per il suo nome. Le piattaforme attualmente non hanno processi di verifica dell’account. Meglio controllare sempre che la biografia, il nome utente e i contatti dei social media collegati siano autentici. Fondamentale inoltre concedere solo autorizzazioni necessarie e condividere i dati indispensabili e basta. Non è necessario ad esempio condividere i dati della rubrica. Basta negare l’autorizzazione.
La ricerca è stata condotta tra l’8 e l’11 febbraio 2021 da Federico Maggi, Senior Threat Researcher Trend Micro. Al momento della pubblicazione, alcuni dei problemi descritti in questo documento potrebbero essere stati o sono attualmente in fase di risoluzione da parte dei fornitori delle app. I marchi qui menzionati sono stati informati dei risultati della ricerca.
