Kulcs elvitelek
- A McAfee kiberbiztonsági cég legutóbbi jelentése szerint a videohívás-szoftver feltörésével kémkedhet a felhasználók után.
- A randevúzási alkalmazások, például az eHarmony és a Plenty of Fish azok közé tartoztak, amelyek sebezhetőek voltak a hackeléssel szemben.
- A videokonferencia-platformokat használók száma drámaian megnőtt, és sok ember kénytelen otthonról dolgozni a koronavírus-járvány idején.
Lehet, hogy videohívásai nem olyan biztonságosak, mint gondolná egy új kutatás szerint.
A McAfee kiberbiztonsági cég kiadott egy jelentést, amelyben egy videohívási szoftverfejlesztő készlet (SDK) új sebezhetőségét tárja fel. A hackerek ezt a biztonsági rést kihasználva kémkedhetnek a felhasználók élő video- és hanghívásai után. A sebezhető SDK-platformot használó társkereső alkalmazások, például az eHarmony és a Plenty of Fish között szerepeltek.
"Akár rendszeres virtuális munkahelyi megbeszéléseken vesz részt, akár a tágabb családdal találkozik szerte a világon, fogyasztóként fontos tisztában lenni azzal, hogy pontosan mire is gondol, amikor olyan alkalmazásokat tölt le, amelyek segítenek a kapcsolattartásban." Steve Povolny, a McAfee Advanced Threat Research vezetője egy e-mailes interjúban elmondta.
"A videokonferencia-eszközök és -alkalmazások gyors és széles körű elterjedésével elkerülhetetlenül megjelennek az online biztonságot fenyegető potenciális veszélyek."
Sok veszély fenyegeti a videocsevegést
Az Agora.io szoftvercég által biztosított SDK-t hang- és videokommunikációs alkalmazások használhatják számos platformon, például mobilon és weben. Nem ismert, hogy hány más alkalmazást érinthetett volna ez, mondta Povolny.
Mióta a McAfee felfedezte ezt a biztonsági problémát, az Agora frissítette az SDK-ját a titkosítás biztosítása érdekében. A szakértők azonban azt mondják, hogy a videokommunikáció sok típusa továbbra is ki van téve a hackelésnek.
Bármi, ami az internethez kapcsolódik, feltörhető – mutatott rá Joseph Carson, a Thycotic kiberbiztonsági cég vezető biztonsági tudósa egy e-mailes interjúban.
"Minden kamerát tartalmazó eszközt teljesen vissza lehet használni videó rögzítésére, az adatok elemzésére, valamint hang- vagy arcfelismerés végrehajtására" - tette hozzá.
"Sok incidensben az őket gyártó gyártók nem tudják kikapcsolni őket, ami azt jelenti, hogy pusztán a könnyű használatra összpontosítanak, és ennek következtében szinte mindig feláldozzák a biztonságot."
A videokonferencia-platformokat használók száma drámaian megnőtt, és a koronavírus-járvány idején sokan kénytelenek otthonról dolgozni - mondta Hank Schless, a Lookout kiberbiztonsági cég biztonsági megoldásokért felelős vezető menedzsere egy e-mailben.
"A rosszindulatú szereplők tudják, hogy sok új felhasználó van, aki nem ismeri az általuk kihasználható alkalmazásokat" - tette hozzá. "Az ilyen típusú kampányokban gyakran használnak rosszindulatú URL-eket és hamis üzenetmellékleteket is, hogy célpontokat hozzanak az adathalász oldalakra."
A bennfentes támadások jelentik a legnagyobb veszélyt
A videohívás akkor a legsebezhetőbb, ha a hívást harmadik fél szerverén vagy az alkalmazásszolgáltató szerverén rögzítik és tárolják – mondta Hang Dinh, az Indiana University South Bend számítás- és információtudományok professzora egy e-mailben. interjú.
Például a Facebook Messenger videohívásait a Facebook szerverei tárolják, és a Facebook alkalmazottai megtekinthetik azokat.
"Ha az egyik alkalmazottja nem vigyáz a biztonságra, a hívásait feltörhetik" - tette hozzá Dinh. "Ne feledje, hogy a Twittert is feltörték egy bennfentes hibája miatt."
A kommunikációjuk biztonságosabbá tétele érdekében a felhasználóknak a végpontok közötti titkosított videohívásokat kell választaniuk, mint például a WhatsApp, a Google Duo, a FaceTime és az ExtentWorld, mondta Dinh.
"A végpontok közötti titkosítás azt jelenti, hogy a hívások nem kerülnek tárolásra és visszafejtésre harmadik fél szerverén, beleértve a hívásszolgáltató szervereit is" - tette hozzá.
A népszerű videokonferencia-szoftver, a Zoom szintén nemrégiben kezdett el végponttól végpontig titkosított videohívásokat kínálni. Ennek ellenére a Zoom titkosítási funkciója alapértelmezés szerint nincs bekapcsolva, jegyezte meg Dinh.
A legtöbb ember számára a videohackelés legjelentősebb kockázata a lehallgatás – mondta Chris Morales, a Vectra AI kiberbiztonsági vállalat biztonsági elemzési részlegének vezetője egy e-mailes interjúban.
"A másik kockázat a közös képekkel és hangokkal végzett munkamenet megszakítása" - mondta. "Gondolj rá úgy, mint digitális graffitire."
A hackerek távoltartása érdekében a felhasználóknak jelszavakkal kell rendelkezniük minden videokonferenciához, mondta Morales.
Ezt a jelszót nem szabad nyilvánosan közzétenni, és privát módon meg kell osztani. A moderátor alapértelmezés szerint minden résztvevőnél engedélyezheti a némítást és letilthatja a képernyőmegosztási funkciókat. "A jelszó erőssége továbbra is hatással lesz arra, hogy valaki hozzáfér-e egy aktuális munkamenethez" - tette hozzá. "De ez sokkal jobb, mint a jelszó hiánya."