Tyrėjai teigia, kad vaizdo skambučiai gali būti nesaugūs

December 02, 2021
ĮProtingas Ir Sujungtas Gyvenimas Žinios

Key Takeaways

Neseniai paskelbtoje kibernetinio saugumo įmonės McAfee ataskaitoje nustatyta, kad vaizdo skambučių programinė įranga gali būti įsilaužta siekiant šnipinėti vartotojus.
Pažinčių programos, tokios kaip „eHarmony“ ir „Plenty of Fish“, buvo tarp tų, kurios buvo pažeidžiamos įsilaužimui.
Žmonių, besinaudojančių vaizdo konferencijų platformomis, skaičius labai išaugo – koronaviruso pandemijos metu daugelis žmonių buvo priversti dirbti iš namų.

Tėvai ir vaikas kartu žiūri į planšetinį kompiuterį. — Geber86 / Getty Images

Remiantis nauju tyrimu, jūsų vaizdo skambučiai gali būti ne tokie saugūs, kaip manote.

Kibernetinė sauga įmonė McAfee išleido a ataskaita atskleidžiant naują vaizdo skambučių programinės įrangos kūrimo rinkinio (SDK) pažeidžiamumą. Įsilaužėliai gali pasinaudoti šiuo pažeidžiamumu, kad šnipinėtų vartotojų tiesioginius vaizdo ir garso skambučius. Pažinčių programos, tokios kaip „eHarmony“ ir „Plenty of Fish“, buvo tarp tų, kurios naudoja pažeidžiamą SDK platformą.

„Nesvarbu, ar lankotės įprastuose virtualiuose darbo susitikimuose, ar bendraujate su šeima visame pasaulyje, kaip vartotojas, Svarbu suvokti, į ką tiksliai įsitraukiate atsisiųsdami programas, kurios padeda palaikyti ryšį“, – vadovas Steve'as Povolny apie

„McAfee“ pažangus grėsmių tyrimas sakė interviu elektroniniu paštu.

„Kadangi vaizdo konferencijų įrankiai ir programėlės greitai ir plačiai pradedamos taikyti, neišvengiamai iškils galimos grėsmės saugumui internete.

Daug grėsmių vaizdo pokalbiams

SDK, kurį teikia programinės įrangos įmonė Agora.io, gali būti naudojamas balso ir vaizdo ryšio programose daugelyje platformų, pvz., mobiliajame ir žiniatinklyje. Nežinoma, kiek kitų programų galėjo būti paveikta, sakė Povolny.

„McAfee“ atradus šią saugos problemą, „Agora“ atnaujino savo SDK, kad užtikrintų šifravimą. Tačiau ekspertai teigia, kad daugelis vaizdo ryšių tipų išlieka pažeidžiami įsilaužimo.

Viskas, kas prijungta prie interneto, gali būti nulaužta, interviu el. paštu nurodė Josephas Carsonas, kibernetinio saugumo įmonės „Thycotic“ vyriausiasis saugumo mokslininkas.

Kažkas dalyvauja vaizdo konferencijoje nešiojamajame kompiuteryje. — pixelfit / Getty Images

„Bet kokie įrenginiai, kuriuose yra kameros, gali būti visiškai piktnaudžiaujami siekiant įrašyti vaizdo įrašą, analizuoti tuos duomenis ir atlikti balso ar veido atpažinimą“, – pridūrė jis.

„Daugeliu atvejų juos gaminantys pardavėjai nesuteikia galimybės jų išjungti, o tai reiškia, kad jie sutelkia dėmesį tik į naudojimo paprastumą ir beveik visada dėl to aukoja saugumą.

Žmonių, besinaudojančių vaizdo konferencijų platformomis, skaičius labai išaugo, daug žmonių priverstas dirbti iš namų per koronaviruso pandemiją, Hankas Schlessas, vyresnysis saugumo vadovas sprendimai adresu kibernetinio saugumo įmonė „Lookout“., sakė interviu el.

„Piktybiški veikėjai žino, kad yra daug naujų vartotojų, kurie nėra susipažinę su programomis, kurias gali išnaudoti“, – pridūrė jis. „Tokio tipo kampanijose jie dažnai naudoja ir kenkėjiškus URL, ir netikrų pranešimų priedus, kad nukreiptų taikinius į sukčiavimo puslapius.

Insider atakos yra didžiausia grėsmė

Vaizdo skambučiai yra labiausiai pažeidžiami, kai skambutis įrašomas ir saugomas trečiosios šalies serveryje arba programos teikėjo serveryje, Hang Dinh, Indianos universiteto Saut Bendo kompiuterių ir informacijos mokslų profesorius, sakė interviu el. paštu.

Pavyzdžiui, „Facebook Messenger“ vaizdo skambučiai yra saugomi „Facebook“ serveriuose ir juos gali peržiūrėti „Facebook“ darbuotojai.

„Jei vienas iš jų darbuotojų nėra atsargus dėl saugumo, jūsų skambučiai gali būti nulaužti“, – pridūrė Dinhas. „Atminkite, kad „Twitter“ taip pat buvo įsilaužta dėl viešai neatskleistos kaltės.

Vaizdas per petį asmens, dalyvaujančio vaizdo skambutyje planšetiniu kompiuteriu, vaizdas. — Jasmin Merdan / Getty Images

Dinhas sakė, kad norėdami, kad jų ryšys būtų saugesnis, vartotojai turėtų rinktis tiesioginius šifruotus vaizdo skambučius, tokius kaip „WhatsApp“, „Google Duo“, „FaceTime“ ir „ExtentWorld“.

„Tai, kad skambučiai yra šifruojami nuo galo iki galo, reiškia, kad skambučiai nėra saugomi ir neiššifruojami jokiame trečiosios šalies serveryje, įskaitant skambučių teikėjo serverius“, – pridūrė ji.

Populiari vaizdo konferencijų programinė įranga „Zoom“ taip pat neseniai pradėjo siūlyti šifruotus vaizdo skambučius nuo galo iki galo. Vis dėlto „Zoom“ šifravimo funkcija nėra įjungta pagal numatytuosius nustatymus, pažymėjo Dinhas.

Daugumai žmonių didžiausia vaizdo įrašų įsilaužimo rizika yra pasiklausymas, sako Chrisas Moralesas, saugumo analizės vadovas kibernetinio saugumo įmonė Vectra AI, sakė interviu el.

„Kita rizika yra seanso su bendrais vaizdais ir garsais sutrikimas“, – sakė jis. „Pagalvokite apie tai kaip apie skaitmeninį grafiti“.

Kad išvengtų įsilaužėlių, vartotojai turėtų turėti slaptažodžius visoms vaizdo konferencijoms, sakė Moralesas.

Šis slaptažodis neturėtų būti skelbiamas viešai ir turėtų būti bendrinamas privačiai. Moderatorius taip pat pagal numatytuosius nustatymus gali įjungti visų dalyvių nutildymą ir išjungti ekrano bendrinimo funkcijas. „Tai, koks stiprus tas slaptažodis, vis tiek turės įtakos kažkieno galimybei pasiekti dabartinę sesiją“, – pridūrė jis. "Bet tai daug geriau nei jokio slaptažodžio."