Atslēgas līdzņemšanai
- Kiberdrošības firmas McAfee jaunākajā ziņojumā konstatēts, ka videozvanu programmatūra var tikt uzlauzta, lai izspiegotu lietotājus.
- Iepazīšanās lietotnes, piemēram, eHarmony un Plenty of Fish, bija starp tām, kuras tika identificētas kā neaizsargātas pret uzlaušanu.
- Cilvēku skaits, kas izmanto videokonferenču platformas, ir dramatiski pieaudzis, un koronavīrusa pandēmijas laikā daudzi cilvēki bija spiesti strādāt no mājām.
Saskaņā ar jaunu pētījumu jūsu videozvani var nebūt tik droši, kā jūs domājat.
Kiberdrošības uzņēmums McAfee ir izlaidis ziņojumu, atklājot jaunu ievainojamību videozvanu programmatūras izstrādes komplektā (SDK). Hakeri var izmantot šo ievainojamību, lai izspiegotu lietotāju tiešraides video un audio zvanus. Iepazīšanās lietotnes, piemēram, eHarmony un Plenty of Fish, bija starp tām, kuras izmanto ievainojamo SDK platformu.
"Neatkarīgi no tā, vai apmeklējat regulāras virtuālas darba sapulces vai sazināties ar plašāku ģimeni visā pasaulē, kā patērētājam ir svarīgi saprast, ko tieši jūs nokļūstat, lejupielādējot lietojumprogrammas, kas palīdz uzturēt sakarus," Stīvs Povolnijs, McAfee Advanced Threat Research vadītājs, e-pasta intervijā sacīja.
"Tā kā videokonferenču rīki un lietotnes strauji un plaši tiek ieviestas, neizbēgami parādīsies iespējami draudi tiešsaistes drošībai."
Daudzi draudi video tērzēšanai
Programmatūras firmas Agora.io nodrošināto SDK var izmantot lietojumprogrammas balss un video saziņai daudzās platformās, piemēram, mobilajās ierīcēs un tīmeklī. Nav zināms, cik daudz citu lietotņu varētu būt ietekmētas, sacīja Povolnijs.
Kopš McAfee atklāja šo drošības problēmu, Agora ir atjauninājusi savu SDK, lai nodrošinātu šifrēšanu. Taču eksperti saka, ka daudzi video saziņas veidi joprojām ir neaizsargāti pret uzlaušanu.
Var uzlauzt visu, kas ir savienots ar internetu, e-pasta intervijā norādīja Džozefs Kārsons, kiberdrošības uzņēmuma Thycotic galvenais drošības zinātnieks.
"Jebkuras ierīces, kurās ir kameras, var pilnībā izmantot, lai ierakstītu video, analizētu šos datus un veiktu balss vai sejas atpazīšanu," viņš piebilda.
"Daudzos gadījumos pārdevēji, kas tos ražo, nenodrošina iespēju tos izslēgt, kas nozīmē, ka viņi koncentrējas tikai uz lietošanas ērtumu un gandrīz vienmēr tāpēc upurē drošību."
Cilvēku skaits, kas izmanto videokonferenču platformas, ir dramatiski pieaudzis, jo koronavīrusa pandēmijas laikā daudzi cilvēki bija spiesti strādāt mājās, e-pasta intervijā sacīja Henks Šless, kiberdrošības firmas Lookout drošības risinājumu vecākais vadītājs.
"Ļaunprātīgi dalībnieki zina, ka ir daudz jaunu lietotāju, kuri nav pazīstami ar lietotnēm, kuras viņi var izmantot," viņš piebilda. "Šāda veida kampaņās viņi bieži izmanto gan ļaunprātīgus URL, gan viltus ziņojumu pielikumus, lai pikšķerēšanas lapās novirzītu mērķus."
Insider uzbrukumi ir lielākais drauds
Videozvani ir visneaizsargātākie, ja zvans tiek ierakstīts un saglabāts trešās puses serverī vai lietotņu nodrošinātāja serverī, e-pastā sacīja Indiānas Universitātes Sautbendas datorzinātņu un informācijas zinātņu profesors Hang Dins. intervija.
Piemēram, videozvani pakalpojumā Facebook Messenger tiek glabāti Facebook serveros, un tos var skatīt Facebook darbinieki.
"Ja kāds no viņu darbiniekiem nav uzmanīgs pret drošību, jūsu zvani var tikt uzlauzti," piebilda Dins. "Atcerieties, ka Twitter tika uzlauzts arī iekšējās personas vainas dēļ."
Lai padarītu saziņu drošāku, lietotājiem vajadzētu izvēlēties šifrētus videozvanus, piemēram, WhatsApp, Google Duo, FaceTime un ExtentWorld, sacīja Dins.
"Tas, ka zvani ir pilnībā šifrēti, nozīmē, ka zvani netiek saglabāti un atšifrēti nevienā trešās puses serverī, tostarp zvanu nodrošinātāja serveros," viņa piebilda.
Populārā videokonferenču programmatūra Zoom arī nesen sāka piedāvāt pilnus šifrētus videozvanus. Tomēr Dinh atzīmēja, ka tālummaiņas šifrēšanas funkcija nav ieslēgta pēc noklusējuma.
Lielākajai daļai cilvēku visnozīmīgākais video uzlaušanas risks ir noklausīšanās, e-pasta intervijā sacīja Kriss Moraless, kiberdrošības uzņēmuma Vectra AI drošības analīzes vadītājs.
"Otrs risks ir sesijas pārtraukšana ar koplietotiem attēliem un skaņām," viņš teica. "Padomājiet par to kā par digitālo grafiti."
Lai izvairītos no hakeriem, lietotājiem ir jābūt visu videokonferenču parolēm, sacīja Moraless.
Šo paroli nedrīkst publicēt publiski, un tā ir jākopīgo privāti. Moderators var arī pēc noklusējuma iespējot skaņu visiem dalībniekiem un atspējot ekrāna koplietošanas funkcijas. "Cik spēcīga ir šī parole, joprojām ietekmēs personas spēju piekļūt pašreizējai sesijai," viņš piebilda. "Bet tas ir daudz labāk nekā bez paroles."