Ključni izsledki
- Nedavno poročilo podjetja za kibernetsko varnost McAfee ugotavlja, da bi lahko v programsko opremo za video klice vdrli, da bi vohunili za uporabniki.
- Aplikacije za zmenke, kot sta eHarmony in Plenty of Fish, so bile med tistimi, ki so bile ugotovljene kot ranljive za vdiranje.
- Število ljudi, ki uporabljajo videokonferenčne platforme, se je dramatično povečalo, saj je veliko ljudi med pandemijo koronavirusa prisiljenih delati od doma.
V skladu z novo raziskavo vaši video klici morda niso tako varni, kot mislite.
Podjetje za kibernetsko varnost McAfee je objavilo poročilo, v katerem je razkrilo novo ranljivost v kompletu za razvoj programske opreme za video klice (SDK). Hekerji bi lahko izkoristili to ranljivost za vohunjenje za video in zvočnimi klici uporabnikov v živo. Aplikacije za zmenke, kot sta eHarmony in Plenty of Fish, so bile med tistimi, ki uporabljajo ranljivo platformo SDK.
»Ne glede na to, ali se udeležujete rednih virtualnih delovnih sestankov ali se družite z razširjeno družino po vsem svetu, je kot potrošnik pomembno, da se zavedate, v kaj točno se spuščate, ko prenašate aplikacije, ki vam pomagajo ostati povezani, « Steve Povolny, vodja McAfee Advanced Threat Research, je dejal v intervjuju po elektronski pošti.
"Ker prihaja do hitrega in širokega sprejemanja orodij in aplikacij za videokonference, se bodo neizogibno pojavile potencialne grožnje spletni varnosti."
Veliko groženj videoklepetom
SDK, ki ga zagotavlja podjetje za programsko opremo Agora.io, lahko uporabljajo aplikacije za glasovno in video komunikacijo na številnih platformah, kot sta mobilni in spletni. Ni znano, na koliko drugih aplikacij bi to lahko vplivalo, je dejal Povolny.
Odkar je McAfee odkril to varnostno težavo, je Agora posodobila svoj SDK za zagotavljanje šifriranja. Toda strokovnjaki pravijo, da je veliko vrst video komunikacij še vedno ranljivih za vdore.
Kar koli, kar je povezano z internetom, je mogoče vdreti, je v intervjuju po elektronski pošti poudaril Joseph Carson, glavni varnostni znanstvenik pri podjetju Thycotic za kibernetsko varnost.
"Vse naprave, ki vsebujejo kamere, se lahko popolnoma zlorabljajo za snemanje videa, analizo teh podatkov in izvajanje prepoznavanja glasu ali obraza," je dodal.
"V mnogih primerih prodajalci, ki jih izdelujejo, ne nudijo možnosti, da bi jih izklopili, kar pomeni, da se osredotočajo zgolj na enostavnost uporabe in posledično skoraj vedno žrtvujejo varnost."
Število ljudi, ki uporabljajo platforme za videokonference, se je drastično povečalo, pri čemer je veliko ljudi med pandemijo koronavirusa prisiljeno delati od doma, je v intervjuju po elektronski pošti povedal Hank Schless, višji vodja varnostnih rešitev pri podjetju za kibernetsko varnost Lookout.
»Zlonamerni akterji vedo, da je veliko novih uporabnikov, ki niso seznanjeni z aplikacijami, ki jih lahko izkoristijo,« je dodal. "V tej vrsti kampanje pogosto uporabljajo tako zlonamerne URL-je kot lažne priloge sporočil, da tarče pripeljejo do lažnih strani."
Notranji napadi so največja grožnja
Video klici so najbolj ranljivi, ko je klic posnet in shranjen na strežniku tretje osebe ali na strežniku ponudnika aplikacije, je v elektronskem sporočilu dejal Hang Dinh, profesor računalništva in informacijskih znanosti na univerzi Indiana South Bend intervju.
Na primer, video klici v Facebook Messengerju so shranjeni na Facebookovih strežnikih in si jih lahko ogledajo zaposleni pri Facebooku.
"Če eden od njihovih zaposlenih ni previden pri varnosti, lahko vdrejo v vaše klice," je dodal Dinh. "Ne pozabite, da je bil tudi Twitter vdrt zaradi krivde insajderja."
Da bodo njihove komunikacije bolj varne, bi morali uporabniki izbrati šifrirane video klice od konca do konca, kot so WhatsApp, Google Duo, FaceTime in ExtentWorld, je dejal Dinh.
"Ker so šifrirani od konca do konca, to pomeni, da klici niso shranjeni in dešifrirani na nobenem strežniku tretje osebe, vključno s strežniki ponudnika klicev," je dodala.
Priljubljena programska oprema za videokonference Zoom je nedavno začela ponujati tudi šifrirane video klice od konca do konca. Kljub temu funkcija šifriranja v Zoomu ni privzeto vklopljena, je opozoril Dinh.
Za večino ljudi je največje tveganje za video vdiranje prisluškovanje, je v intervjuju po e-pošti dejal Chris Morales, vodja varnostne analitike pri podjetju za kibernetsko varnost Vectra AI.
"Drugo tveganje je motnja seje s skupnimi slikami in zvoki," je dejal. "Razmišljajte o tem kot o digitalnih grafitih."
Da preprečite hekerjem, bi morali imeti uporabniki gesla za vse videokonference, je dejal Morales.
Tega gesla ne smete javno objaviti in ga morate deliti zasebno. Moderator lahko tudi privzeto omogoči izklop zvoka za vse udeležence in onemogoči funkcije skupne rabe zaslona. "Kako močno je to geslo, bo še vedno vplivalo na zmožnost nekoga, da dostopa do trenutne seje," je dodal. "Vendar je veliko bolje kot brez gesla."
