Saltar al contenido

Οι βιντεοκλήσεις ενδέχεται να μην είναι ασφαλείς, λένε οι ερευνητές

7 de abril de 2021

Βασικές επιλογές

  • Μια πρόσφατη έκθεση της εταιρείας cybersecurity McAfee διαπιστώνει ότι το λογισμικό βιντεοκλήσεων θα μπορούσε να παραβιαστεί για να κατασκοπεύει τους χρήστες.
  • Εφαρμογές γνωριμιών όπως το eHarmony και το Plenty of Fish ήταν μεταξύ αυτών που αναγνωρίστηκαν ως ευάλωτα σε πειρατεία.
  • Ο αριθμός των ατόμων που χρησιμοποιούν πλατφόρμες τηλεδιάσκεψης έχει αυξηθεί δραματικά, με πολλούς ανθρώπους να αναγκάζονται να εργάζονται από το σπίτι κατά τη διάρκεια της πανδημίας του κοροναϊού.

Ένας γονέας και ένα παιδί που βλέπουν μαζί ένα tablet.

Geber86 / Getty Images
Οι βιντεοκλήσεις σας ενδέχεται να μην είναι τόσο ασφαλείς όσο νομίζετε, σύμφωνα με νέα έρευνα. Η εταιρεία Cybersecurity McAfee κυκλοφόρησε μια έκθεση που αποκαλύπτει μια νέα ευπάθεια σε ένα κιτ ανάπτυξης λογισμικού βιντεοκλήσεων (SDK). Οι χάκερ θα μπορούσαν να εκμεταλλευτούν αυτήν την ευπάθεια για να κατασκοπεύσουν τις ζωντανές κλήσεις βίντεο και ήχου των χρηστών. Οι εφαρμογές γνωριμιών όπως το eHarmony και το Plenty of Fish ήταν μεταξύ αυτών που αναγνωρίστηκαν ότι χρησιμοποιούν την ευάλωτη πλατφόρμα SDK. «Είτε παρακολουθείτε τακτικές εικονικές συναντήσεις εργασίας είτε έρχεστε σε επαφή με εκτεταμένη οικογένεια σε όλο τον κόσμο, ως καταναλωτής, είναι σημαντικό να συνειδητοποιήσετε τι ακριβώς αντιμετωπίζετε όταν κάνετε λήψη εφαρμογών που σας βοηθούν να παραμείνετε συνδεδεμένοι», ο Steve Povolny, επικεφαλής της McAfee Η Advanced Threat Research είπε σε μια συνέντευξη μέσω email. «Καθώς λαμβάνει χώρα η ταχεία, ευρεία υιοθέτηση εργαλείων και εφαρμογών τηλεδιάσκεψης, αναπόφευκτα θα προκύψουν πιθανές απειλές για την ασφάλεια στο διαδίκτυο.»

Πολλές απειλές για συνομιλίες μέσω βίντεο

Το SDK, που παρέχεται από την εταιρεία λογισμικού Agora.io, μπορεί να χρησιμοποιηθεί από εφαρμογές για επικοινωνία φωνής και βίντεο σε πολλές πλατφόρμες, όπως κινητά και διαδικτυακά. Δεν είναι γνωστό πόσες άλλες εφαρμογές θα μπορούσαν να έχουν επηρεαστεί, είπε ο Povolny. Από τη στιγμή που η McAfee ανακάλυψε αυτό το ζήτημα ασφαλείας, η Agora έχει ενημερώσει το SDK για να παρέχει κρυπτογράφηση. Ωστόσο, οι ειδικοί λένε ότι πολλοί τύποι επικοινωνιών βίντεο παραμένουν ευάλωτοι σε εισβολή. Οτιδήποτε είναι συνδεδεμένο στο Διαδίκτυο μπορεί να παραβιαστεί, επισημαίνει ο Τζόζεφ Κάρσον, επικεφαλής επιστήμονας ασφαλείας στην εταιρεία κυβερνοασφάλειας Thycotic, σε μια συνέντευξη μέσω email.

Κάποιος τηλεδιάσκεψη σε φορητό υπολογιστή.

pixelfit / Getty Images
«Οποιεσδήποτε συσκευές που περιέχουν κάμερες μπορούν απολύτως να καταχραστούν για την εγγραφή βίντεο, την ανάλυση αυτών των δεδομένων και την εκτέλεση αναγνώρισης φωνής ή προσώπου», πρόσθεσε. «Σε πολλά περιστατικά, οι πωλητές που τα κατασκευάζουν δεν παρέχουν τη δυνατότητα να τα απενεργοποιήσουν, πράγμα που σημαίνει ότι επικεντρώνονται αποκλειστικά στην ευκολία χρήσης και σχεδόν πάντα θυσιάζουν την ασφάλεια». Ο αριθμός των ατόμων που χρησιμοποιούν πλατφόρμες τηλεδιάσκεψης έχει αυξηθεί δραματικά, με πολλούς ανθρώπους να αναγκάζονται να εργάζονται από το σπίτι τους κατά τη διάρκεια της πανδημίας του κοροναϊού, δήλωσε ο Hank Schless, ανώτερος διευθυντής λύσεων ασφαλείας στην εταιρεία κυβερνοασφάλειας Lookout. «Οι κακόβουλοι ηθοποιοί γνωρίζουν ότι υπάρχουν πολλοί νέοι χρήστες που δεν είναι εξοικειωμένοι με τις εφαρμογές που μπορούν να εκμεταλλευτούν», πρόσθεσε. «Σε αυτόν τον τύπο καμπάνιας, χρησιμοποιούν συχνά κακόβουλα URL και συνημμένα ψεύτικα μηνύματα για να φέρουν στόχους σε σελίδες ηλεκτρονικού ψαρέματος.»

Το Insider Attacks είναι η μεγαλύτερη απειλή

Η βιντεοκλήση είναι πιο ευάλωτη όταν η κλήση καταγράφεται και αποθηκεύεται σε διακομιστή τρίτου μέρους ή στον διακομιστή του παρόχου εφαρμογών, δήλωσε ο Hang Dinh, καθηγητής πληροφορικής και επιστημών πληροφορικής στο Indiana University South Bend, σε συνέντευξη μέσω email. Για παράδειγμα, οι βιντεοκλήσεις στο Facebook Messenger αποθηκεύονται στους διακομιστές του Facebook και μπορούν να προβληθούν από τους υπαλλήλους του Facebook. «Εάν ένας από τους υπαλλήλους του δεν είναι προσεκτικός με την ασφάλεια, οι κλήσεις σας μπορούν να παραβιαστούν», πρόσθεσε ο Dinh. «Θυμηθείτε ότι το Twitter παραβιάστηκε επίσης λόγω σφάλματος ενός εσωτερικού.»

Πάνω από την όψη ενός ατόμου που συμμετέχει σε βιντεοκλήση σε tablet.

Jasmin Merdan / Getty Images
Για να κάνουν τις επικοινωνίες τους πιο ασφαλείς, οι χρήστες θα πρέπει να επιλέξουν κρυπτογραφημένες βιντεοκλήσεις από άκρο σε άκρο όπως WhatsApp, Google Duo, FaceTime και ExtentWorld, δήλωσε ο Dinh. «Η κρυπτογράφηση από άκρο σε άκρο σημαίνει ότι οι κλήσεις δεν αποθηκεύονται και αποκρυπτογραφούνται σε οποιονδήποτε διακομιστή τρίτου μέρους, συμπεριλαμβανομένων των διακομιστών του παρόχου κλήσεων», πρόσθεσε. Το δημοφιλές λογισμικό τηλεδιάσκεψης Zoom άρχισε πρόσφατα να προσφέρει κρυπτογραφημένες βιντεοκλήσεις από άκρο σε άκρο. Ωστόσο, η δυνατότητα κρυπτογράφησης στο Zoom δεν είναι ενεργοποιημένη από προεπιλογή, σημείωσε ο Dinh. Για τους περισσότερους ανθρώπους, ο πιο σημαντικός κίνδυνος για ηλεκτρονική εισβολή είναι η υποκλοπή, δήλωσε ο Chris Morales, επικεφαλής των αναλυτικών στοιχείων ασφαλείας στην εταιρεία ασφάλειας στον κυβερνοχώρο Vectra AI, σε συνέντευξη μέσω email. «Ο άλλος κίνδυνος είναι η διακοπή μιας συνεδρίας με κοινόχρηστες εικόνες και ήχους», είπε. «Σκεφτείτε το σαν ψηφιακά γκράφιτι.» Για να αποφύγουν τους χάκερ, οι χρήστες θα πρέπει να έχουν κωδικούς πρόσβασης για όλες τις βιντεοδιασκέψεις, δήλωσε ο Morales. Αυτός ο κωδικός δεν πρέπει να δημοσιεύεται δημόσια και πρέπει να κοινοποιείται ιδιωτικά. Ο επόπτης μπορεί επίσης, από προεπιλογή, να ενεργοποιήσει τη σίγαση σε όλους τους συμμετέχοντες και να απενεργοποιήσει τις δυνατότητες κοινής χρήσης οθόνης. «Πόσο ισχυρός είναι αυτός ο κωδικός πρόσβασης θα εξακολουθήσει να επηρεάζει την ικανότητα κάποιου να έχει πρόσβαση σε μια τρέχουσα συνεδρία», πρόσθεσε. «Αλλά είναι πολύ καλύτερο από καθόλου κωδικό πρόσβασης.»