Kluczowe dania na wynos
- Niedawny raport firmy McAfee zajmującej się cyberbezpieczeństwem wskazuje, że oprogramowanie do rozmów wideo może zostać zhakowane w celu szpiegowania użytkowników.
- Aplikacje randkowe, takie jak eHarmony i Plenty of Fish, znalazły się wśród zidentyfikowanych jako podatne na ataki hakerów.
- Liczba osób korzystających z platform wideokonferencyjnych dramatycznie wzrosła, a wiele osób zostało zmuszonych do pracy w domu podczas pandemii koronawirusa.
Twoje rozmowy wideo mogą nie być tak bezpieczne, jak myślisz, według nowych badań.
Firma McAfee zajmująca się cyberbezpieczeństwem opublikowała raport ujawniający nową lukę w oprogramowaniu do tworzenia połączeń wideo (SDK). Hakerzy mogą wykorzystać tę lukę do szpiegowania połączeń wideo i audio na żywo. Aplikacje randkowe, takie jak eHarmony i Plenty of Fish, znalazły się wśród tych, które zostały zidentyfikowane jako korzystające z podatnej platformy SDK.
Niezależnie od tego, czy jako konsument uczestniczysz w regularnych wirtualnych spotkaniach roboczych, czy spotykasz się z dalszą rodziną na całym świecie, musisz zdać sobie sprawę, w co dokładnie się pakujesz podczas pobierania aplikacji, które pomogą Ci pozostać w kontakcie”, Steve Povolny, szef McAfee Advanced Threat Research powiedział w wywiadzie e-mailowym.
"W miarę szybkiego i szerokiego stosowania narzędzi i aplikacji do wideokonferencji nieuchronnie pojawią się potencjalne zagrożenia dla bezpieczeństwa w Internecie."
Wiele zagrożeń dla czatów wideo
SDK, dostarczony przez firmę programistyczną Agora.io, może być używany przez aplikacje do komunikacji głosowej i wideo na wielu platformach, takich jak urządzenia mobilne i internetowe. Nie wiadomo, ile innych aplikacji mogło zostać dotkniętych, powiedział Povolny.
Odkąd firma McAfee wykryła ten problem z zabezpieczeniami, Agora zaktualizowała swój pakiet SDK, aby zapewnić szyfrowanie. Eksperci twierdzą jednak, że wiele rodzajów komunikacji wideo pozostaje podatnych na ataki hakerów.
Wszystko, co jest połączone z Internetem, może zostać zhakowane, wskazał w rozmowie e-mailowej Joseph Carson, główny naukowiec ds. bezpieczeństwa w firmie zajmującej się cyberbezpieczeństwem Thycotic.
„Wszelkie urządzenia, które zawierają kamery, mogą być absolutnie nadużywane do nagrywania wideo, analizowania tych danych i wykonywania rozpoznawania głosu lub twarzy” – dodał.
"W wielu przypadkach producenci, którzy je produkują, nie zapewniają możliwości ich wyłączenia, co oznacza, że skupiają się wyłącznie na łatwości użytkowania i prawie zawsze w rezultacie poświęcają się bezpieczeństwu."
Liczba osób korzystających z platform wideokonferencyjnych dramatycznie wzrosła, a wiele osób zostało zmuszonych do pracy w domu podczas pandemii koronawirusa, powiedział Hank Schless, starszy menedżer ds. rozwiązań bezpieczeństwa w firmie Lookout zajmującej się cyberbezpieczeństwem, w wywiadzie e-mailowym.
„Złośliwi aktorzy wiedzą, że jest wielu nowych użytkowników, którzy nie są zaznajomieni z aplikacjami, które mogą wykorzystać” – dodał. „W tego typu kampaniach często wykorzystują zarówno złośliwe adresy URL, jak i fałszywe załączniki do wiadomości, aby kierować cele na strony phishingowe”.
Ataki wewnętrzne są największym zagrożeniem
Rozmowy wideo są najbardziej narażone, gdy rozmowa jest nagrywana i przechowywana na serwerze innej firmy lub na serwerze dostawcy aplikacji, powiedział Hang Dinh, profesor informatyki z Indiana University South Bend w e-mailu. wywiad.
Na przykład rozmowy wideo w komunikatorze Facebook Messenger są przechowywane na serwerach Facebooka i mogą być przeglądane przez pracowników Facebooka.
„Jeśli jeden z ich pracowników nie dba o bezpieczeństwo, Twoje połączenia mogą zostać zhakowane” – dodał Dinh. „Pamiętaj, że Twitter został również zhakowany z winy osoby poufnej”.
Aby komunikacja była bezpieczniejsza, użytkownicy powinni wybierać szyfrowane połączenia wideo typu end-to-end, takie jak WhatsApp, Google Duo, FaceTime i ExtentWorld, powiedział Dinh.
„Kompletne szyfrowanie oznacza, że połączenia nie są przechowywane i odszyfrowywane na żadnym serwerze strony trzeciej, w tym na serwerach dostawcy połączeń”, dodała.
Popularne oprogramowanie do wideokonferencji Firma Zoom niedawno zaczęła oferować szyfrowane połączenia wideo typu end-to-end. Mimo to funkcja szyfrowania w Zoom nie jest domyślnie włączona, zauważył Dinh.
Dla większości ludzi największym ryzykiem włamań wideo jest podsłuchiwanie, powiedział Chris Morales, szef analizy bezpieczeństwa w firmie Vectra AI, zajmującej się cyberbezpieczeństwem, w wywiadzie e-mailowym.
„Innym ryzykiem jest przerwanie sesji ze wspólnymi obrazami i dźwiękami” – powiedział. „Pomyśl o tym jak o cyfrowym graffiti”.
Aby powstrzymać hakerów, użytkownicy powinni mieć hasła do wszystkich wideokonferencji, powiedział Morales.
To hasło nie powinno być publikowane publicznie i powinno być udostępniane prywatnie. Moderator może również domyślnie włączyć wyciszenie wszystkich uczestników i wyłączyć funkcje udostępniania ekranu. „Jak silne jest to hasło nadal będzie miało wpływ na możliwość uzyskania przez kogoś dostępu do bieżącej sesji” – dodał. "Ale to o wiele lepsze niż brak hasła w ogóle."
