Βασικά Takeaways
- Μια πρόσφατη αναφορά από την εταιρεία κυβερνοασφάλειας McAfee διαπιστώνει ότι το λογισμικό βιντεοκλήσεων θα μπορούσε να παραβιαστεί για να κατασκοπεύσει τους χρήστες.
- Εφαρμογές γνωριμιών όπως το eHarmony και το Plenty of Fish ήταν μεταξύ εκείνων που αναγνωρίστηκαν ως ευάλωτες στο hacking.
- Ο αριθμός των ατόμων που χρησιμοποιούν πλατφόρμες τηλεδιάσκεψης έχει αυξηθεί δραματικά, με πολλούς ανθρώπους να αναγκάζονται να εργάζονται από το σπίτι κατά τη διάρκεια της πανδημίας του κορωνοϊού.
Οι βιντεοκλήσεις σας ενδέχεται να μην είναι τόσο ασφαλείς όσο νομίζετε, σύμφωνα με νέα έρευνα.
Η εταιρεία κυβερνοασφάλειας McAfee δημοσίευσε μια έκθεση που αποκαλύπτει μια νέα ευπάθεια σε ένα κιτ ανάπτυξης λογισμικού για κλήσεις βίντεο (SDK). Οι χάκερ θα μπορούσαν να εκμεταλλευτούν αυτήν την ευπάθεια για να κατασκοπεύσουν τις ζωντανές κλήσεις βίντεο και ήχου των χρηστών. Οι εφαρμογές γνωριμιών, όπως το eHarmony και το Plenty of Fish, ήταν μεταξύ εκείνων που προσδιορίστηκαν ότι χρησιμοποιούν την ευάλωτη πλατφόρμα SDK.
"Είτε παρακολουθείτε τακτικές εικονικές συναντήσεις εργασίας είτε συναντάτε τη μεγαλύτερη οικογένεια σε όλο τον κόσμο, ως καταναλωτής, είναι σημαντικό να συνειδητοποιήσετε τι ακριβώς αντιμετωπίζετε όταν κάνετε λήψη εφαρμογών που σας βοηθούν να παραμείνετε συνδεδεμένοι, " Steve Ο Povolny, επικεφαλής της McAfee Advanced Threat Research δήλωσε σε μια συνέντευξη μέσω email.
"Καθώς λαμβάνει χώρα η ταχεία, ευρεία υιοθέτηση εργαλείων και εφαρμογών τηλεδιάσκεψης, αναπόφευκτα θα εμφανιστούν πιθανές απειλές για την ασφάλεια στο διαδίκτυο."
Πολλές απειλές για τις συνομιλίες βίντεο
Το SDK, που παρέχεται από την εταιρεία λογισμικού Agora.io, μπορεί να χρησιμοποιηθεί από εφαρμογές για επικοινωνία φωνής και βίντεο σε πολλές πλατφόρμες, όπως κινητές συσκευές και web. Είναι άγνωστο πόσες άλλες εφαρμογές θα μπορούσαν να έχουν επηρεαστεί, είπε ο Povolny.
Από τότε που η McAfee ανακάλυψε αυτό το ζήτημα ασφαλείας, η Agora ενημέρωσε το SDK της για να παρέχει κρυπτογράφηση. Ωστόσο, οι ειδικοί λένε ότι πολλοί τύποι επικοινωνιών βίντεο παραμένουν ευάλωτοι στο hacking.
Οτιδήποτε είναι συνδεδεμένο στο Διαδίκτυο μπορεί να παραβιαστεί, επεσήμανε ο Joseph Carson, επικεφαλής επιστήμονας ασφάλειας στην εταιρεία κυβερνοασφάλειας Thycotic, σε μια συνέντευξη μέσω email.
"Οποιεσδήποτε συσκευές περιέχουν κάμερες μπορεί να γίνει απολύτως κατάχρηση για την εγγραφή βίντεο, την ανάλυση αυτών των δεδομένων και την εκτέλεση φωνητικής αναγνώρισης ή αναγνώρισης προσώπου", πρόσθεσε.
"Σε πολλά περιστατικά, οι πωλητές που τα κατασκευάζουν δεν παρέχουν τη δυνατότητα να τα απενεργοποιήσουν, πράγμα που σημαίνει ότι επικεντρώνονται αποκλειστικά στην ευκολία χρήσης και σχεδόν πάντα θυσιάζουν την ασφάλεια ως αποτέλεσμα."
Ο αριθμός των ατόμων που χρησιμοποιούν πλατφόρμες τηλεδιάσκεψης έχει αυξηθεί δραματικά, με πολλούς ανθρώπους να αναγκάζονται να εργάζονται από το σπίτι κατά τη διάρκεια της πανδημίας του κορωνοϊού, δήλωσε ο Hank Schless, ανώτερος διευθυντής λύσεων ασφάλειας στην εταιρεία κυβερνοασφάλειας Lookout.
"Κακόβουλοι παράγοντες γνωρίζουν ότι υπάρχουν πολλοί νέοι χρήστες που δεν είναι εξοικειωμένοι με τις εφαρμογές που μπορούν να εκμεταλλευτούν", πρόσθεσε. "Σε αυτόν τον τύπο καμπάνιας, συχνά χρησιμοποιούν κακόβουλες διευθύνσεις URL και πλαστά συνημμένα μηνυμάτων για να φέρουν στόχους σε σελίδες ηλεκτρονικού ψαρέματος."
Οι επιθέσεις εκ των έσω είναι η μεγαλύτερη απειλή
Οι βιντεοκλήσεις είναι πιο ευάλωτες όταν η κλήση καταγράφεται και αποθηκεύεται σε διακομιστή τρίτου μέρους ή στον διακομιστή του παρόχου εφαρμογής, δήλωσε σε ένα email ο Hang Dinh, καθηγητής πληροφορικής και επιστήμης της πληροφορίας στο Πανεπιστήμιο South Bend της Ιντιάνα. συνέντευξη.
Για παράδειγμα, οι βιντεοκλήσεις στο Facebook Messenger αποθηκεύονται στους διακομιστές του Facebook και μπορούν να προβληθούν από τους υπαλλήλους του Facebook.
"Εάν ένας από τους υπαλλήλους του δεν είναι προσεκτικός με την ασφάλεια, οι κλήσεις σας μπορούν να παραβιαστούν", πρόσθεσε ο Ντιν. "Να θυμάστε ότι το Twitter παραβιάστηκε επίσης λόγω υπαιτιότητας ενός μυστικού προσώπου."
Για να κάνουν τις επικοινωνίες τους πιο ασφαλείς, οι χρήστες θα πρέπει να επιλέξουν κρυπτογραφημένες βιντεοκλήσεις από άκρο σε άκρο όπως WhatsApp, Google Duo, FaceTime και ExtentWorld, είπε ο Ντιν.
"Το ότι είναι κρυπτογραφημένες από άκρο σε άκρο σημαίνει ότι οι κλήσεις δεν αποθηκεύονται και αποκρυπτογραφούνται σε οποιονδήποτε διακομιστή τρίτου μέρους, συμπεριλαμβανομένων των διακομιστών του παρόχου κλήσεων", πρόσθεσε.
Το δημοφιλές λογισμικό βιντεοδιάσκεψης Zoom άρχισε επίσης πρόσφατα να προσφέρει κρυπτογραφημένες βιντεοκλήσεις από άκρη σε άκρη. Ωστόσο, η δυνατότητα κρυπτογράφησης στο Zoom δεν είναι ενεργοποιημένη από προεπιλογή, σημείωσε ο Ντιν.
Για τους περισσότερους ανθρώπους, ο πιο σημαντικός κίνδυνος για την παραβίαση βίντεο είναι η υποκλοπή, δήλωσε ο Chris Morales, επικεφαλής ανάλυσης ασφαλείας στην εταιρεία κυβερνοασφάλειας Vectra AI, σε μια συνέντευξη μέσω email.
"Ο άλλος κίνδυνος είναι η διακοπή μιας συνεδρίας με κοινές εικόνες και ήχους", είπε. "Σκέψου το σαν ψηφιακό γκράφιτι."
Για να αποφύγουν τους χάκερ, οι χρήστες θα πρέπει να έχουν κωδικούς πρόσβασης για όλες τις βιντεοδιασκέψεις, είπε ο Μοράλες.
Αυτός ο κωδικός πρόσβασης δεν πρέπει να δημοσιεύεται δημόσια και πρέπει να κοινοποιείται ιδιωτικά. Ο επόπτης μπορεί επίσης, από προεπιλογή, να ενεργοποιήσει τη σίγαση σε όλους τους συμμετέχοντες και να απενεργοποιήσει τις λειτουργίες κοινής χρήσης οθόνης. "Το πόσο ισχυρός είναι αυτός ο κωδικός πρόσβασης θα εξακολουθεί να επηρεάζει τη δυνατότητα πρόσβασης σε μια τρέχουσα συνεδρία", πρόσθεσε. "Αλλά είναι πολύ καλύτερο από το να μην υπάρχει κανένας κωδικός."