Yeni bir çalışma, popüler video konferans uygulamalarındaki (VCA) sessiz düğmesine basıldığında, uygulamaları hala mikrofonunuzu dinlemesi gerektiğini düşündüğünüz gibi çalışmayabileceğini göstermektedir.
Daha spesifik olarak, çalışılan yazılımda, Sesh tuşuna basmak, sesin uygulamaların sunucularına sürekli veya periyodik olarak iletilmesini engellemez.
İlgili gizlilik politikalarında belgelenmemiş bu faaliyet nedeniyle, kullanıcılar, sessiz sistemin nasıl çalıştığını, yanlışlıkla aktive ederken sesli girişin kesildiğini varsayalım konusunda zayıf bir anlayışa sahiptir.
Bu yanlış anlama, çalışmanın ilk aşamasında yansıtılmakta olup, 223 VCA kullanıcısını dilsiz bastırırken beklentileri üzerine incelemek için döner.
Çoğu (% 77.5) katılımcı, uygulamaların mikrofona erişmeye devam etmesi ve MUTUM modu etkin olduğunda muhtemelen veri toplamak için kabul edilemez bulundu.
Çalışma, Wisconsin-Madison Üniversitesi'ndeki bir araştırmacı ekibi ve Chicago'daki Loyola Üniversitesi, sonuçlarına bir kağıt yayınladı.
Çalışmanın bir parçası olarak, araştırmacılar, her uygulamanın ne tür verilerin toplandığını belirlemek için seçilen uygulamaların kapsamlı bir çalışma zamanı ikili analizi yaptılar ve bu verinin bir gizlilik riski oluşturup oluşturmadığı.
Çalışmanın bu aşamasında test edilen uygulamalar zoom, gevşek, MS takımları / Skype, Google Meet, Cisco Webex, BlueJeans, böylece, Gotomeeting, Jitsi tanıştı ve anlaşmazlık vardı.
Takım izlenen ham ses, uygulamalardan altta yatan işletim sisteminin ses sürücüsüne ve sonunda ağa iletir. Bu şekilde, bir kullanıcı 'dilsiz' bastığında hangi değişikliklerin gerçekte olduğunu belirleyebilirler.
Sessiz statüsü ne olursa olsun, tüm uygulamalar, tarayıcının yazılımı dilsiz özelliğini kullanan Web istemcileri dışında, zaman zaman ses verilerini topladılar.
Diğer tüm durumlarda, uygulamalar çeşitli fonksiyonel veya belirsiz nedenlerle aralıklı olarak ses örneklemektedir.
Yakınlaştırma, büyük olasılıkla dünya çapında en popüler video konferans uygulaması, kullanıcının sessiz modundayken bile konuşursa aktif olarak izlendiği bulundu.
Çalışmaya göre, en kötü durum, kullanıcının mikrofonundan ham ses verilerini almaya devam eden ve satıcının sunucularına eşleşmeymediğinde yaptığı gibi, satıcının sunucularına iletilmesine devam eden Cisco Webex'di.
"Bulgularımız, Gizlilik Politikası'ndaki ifadenin aksine, WebEx'in sunucularıyla birlikte, süreçleri ve bunlarla paylaştığını, kullanıcının sessize alındığında, çalışmayı destekleyen teknik makaleyi okur.
"Soruşturma sonuçlarımızın Cisco'yu bilgilendirmek için, Bulgularımız hakkında Cisco ile sorumlu bir açıklama açtık. Şubat 2022'den itibaren, WebEx Mühendislik ekibi ve gizlilik ekibi bu konuyu çözme konusunda aktif olarak çalışıyor."
Yanlış kullanıcı gizlilik beklentilerinin yönü bir kenara bırakılmış olsa bile, bu davranıştan birkaç güvenlik kaygısı ortaya çıkmaktadır.
Sessiz olduğunda sınırlı ses verilerini toplayan uygulamalar için bile, araştırmacılar, bu verilerin, kullanıcının zamanın% 82'sini yaptığını, basit bir makine öğrenme algoritması kullanarak kullanmanın ne olduğunu kullanmanın mümkün olduğunu bulmuşlardır.
Bu, klavye yazımı, pişirme, yemek yemek, müzik dinlemek, vakum temizleme vb. Gibi kaba aktivite sınıflandırması ile ilgilidir.
Satıcılar sunucularını güvence altına almış olsa bile, veri iletimlerini şifrelemektedir ve çalışanları sıkı suistimal karşıtı sözleşmelerle tutturulur, orta bir saldırı, hedef için beklenmedik bir şekilde maruz kalmasına neden olabilir.
UNUTMAYIN, VCA'lar yüksek rütbeli şirket yöneticileri, Ulusal Güvenlik Kurulları üyeleri ve ülke lideri politikacılar tarafından kullanılır, bu nedenle dilsiz aktifken veri sızıntıları oldukça zarar verici olabilir.
İlk olarak, verilerinizin nasıl yönetildiğini ve belirli bir yazılım ürünü kullanmanızda risklerin ne olduğunu daha iyi anlamak için Gizlilik Politikasını okuyun.
İkincisi, mikrofonunuz bilgisayarınıza bir USB veya Jack kablosu üzerinden bağlıysa, susturulduğunda fişini çekebilirsiniz.
Üçüncüsü, OS'nizin ses kontrol ayarlarınızı, mikrofonun giriş kanalınızı kapatmak için herhangi bir uygulamanın sıfır birim sesi alması için kullanabilirsiniz.
Bunların çoğu kullanıcının çoğu için hantal bir adımdır, ancak Misyon-kritik durumlar için, nihai gizliliğin ek bir çabaya değer olmasını sağlar.
15 Nisan Güncellemesi - Cisco Webex için bir sözcüsü, Bleeping Bilgisayarını raporun bulguları hakkında aşağıdaki ifadeyi gönderdi:
Cisco bu raporun farkındadır ve araştırmacıların bizi araştırmaları hakkında bilgilendirmeleri için teşekkür ederiz.
WebEx, "Sessiz Bildirim" özelliği olarak adlandırılan bir kullanıcının sessize alındığını söylemek için mikrofon telemetri verilerini kullanır.
Cisco, ürünlerinin güvenliğini çok ciddiye alır ve bu webex'in güvenlik açığı değildir.
2022'de Cisco, artık mikrofon telemetri verilerini iletmek için özelliği değiştirdi.
Onlarca Covid Passport uygulamaları, kullanıcının gizliliğini riske atar
Ahududu Pi, Brute-Force saldırılarını engellemek için varsayılan kullanıcıyı kaldırır
Google, Android Güvenliğini Yeni DEV Politika Değişiklikleri Seti ile Artırdı
CISA, saldırılarda sömürülen böcekler listesine 66 güvenlik açığı ekler
Güney Afrika, biyometrik kontrollerle SIM takas ile savaşmak istiyor
Kaynak: Bleeping Computer