Ключови изводи
- Неотдавнашен доклад на фирмата за киберсигурност McAfee установява, че софтуерът за видео разговори може да бъде хакнат, за да шпионира потребителите.
- Приложения за запознанства като eHarmony и Plenty of Fish бяха сред идентифицираните като уязвими за хакване.
- Броят на хората, използващи платформи за видеоконференции, се е увеличил драстично, като много хора са принудени да работят от вкъщи по време на пандемията от коронавирус.
Вашите видео разговори може да не са толкова сигурни, колкото си мислите, според ново изследване.
Фирмата за киберсигурност McAfee публикува доклад, разкриващ нова уязвимост в комплект за разработка на софтуер за видео разговори (SDK). Хакерите могат да използват тази уязвимост, за да шпионират видео и аудио разговорите на потребителите на живо. Приложения за запознанства като eHarmony и Plenty of Fish бяха сред идентифицираните като използващи уязвимата SDK платформа.
"Независимо дали посещавате редовни виртуални работни срещи или наваксвате с разширено семейство по целия свят, като потребител е важно да осъзнаете в какво точно се забърквате, когато изтегляте приложения, които ви помагат да поддържате връзка", Стив Поволни, ръководител на McAfee Advanced Threat Research, каза в интервю по имейл.
"С бързото, широко приемане на инструментите и приложенията за видеоконференции неизбежно ще се появят потенциални заплахи за онлайн безопасността."
Много заплахи за видео чатовете
SDK, предоставен от софтуерната фирма Agora.io, може да се използва от приложения за гласова и видео комуникация в много платформи, като мобилни и уеб. Не е известно колко други приложения биха могли да бъдат засегнати, каза Поволни.
Откакто McAfee откри този проблем със сигурността, Agora актуализира своя SDK, за да осигури криптиране. Но експертите казват, че много видове видео комуникации остават уязвими за хакване.
Всичко, свързано с интернет, може да бъде хакнато, посочи Джоузеф Карсън, главен учен по сигурността във фирмата за киберсигурност Thycotic, в интервю по имейл.
"Всички устройства, които съдържат камери, могат абсолютно да бъдат злоупотребени, за да записват видео, да анализират тези данни и да извършват гласово или лицево разпознаване", добави той.
"В много случаи доставчиците, които ги произвеждат, не предоставят възможност за изключване, което означава, че се фокусират единствено върху лекотата на използване и почти винаги жертват сигурността като резултат."
Броят на хората, използващи платформи за видеоконференции, се е увеличил драстично, като много хора са принудени да работят от вкъщи по време на пандемията от коронавирус, каза в интервю по имейл Ханк Шлес, старши мениджър решения за сигурност във фирмата за киберсигурност Lookout.
„Злонамерените участници знаят, че има много нови потребители, които не са запознати с приложенията, които могат да експлоатират“, добави той. „В този тип кампании те често използват както злонамерени URL адреси, така и прикачени файлове към фалшиви съобщения, за да доведат цели до фишинг страници.“
Вътрешните атаки са най-голямата заплаха
Видеоразговорите са най-уязвими, когато обаждането се записва и съхранява на сървър на трета страна или на сървъра на доставчика на приложения, Ханг Дин, професор по компютърни и информационни науки в университета на Индиана Саут Бенд, каза в имейл интервю.
Например, видео разговорите във Facebook Messenger се съхраняват на сървърите на Facebook и могат да се гледат от служителите на Facebook.
"Ако някой от техните служители не е внимателен със сигурността, обажданията ви могат да бъдат хакнати", добави Дин. „Не забравяйте, че Twitter също беше хакнат по вина на вътрешен човек.“
За да направят комуникацията си по-сигурна, потребителите трябва да изберат криптирани видео разговори от край до край като WhatsApp, Google Duo, FaceTime и ExtentWorld, каза Дин.
"Това, че са криптирани от край до край, означава, че обажданията не се съхраняват и декриптират на който и да е сървър на трета страна, включително сървърите на доставчика на обаждания", добави тя.
Популярният софтуер за видеоконференции Zoom също наскоро започна да предлага криптирани видео разговори от край до край. Все пак функцията за криптиране на Zoom не е включена по подразбиране, отбеляза Дин.
За повечето хора най-значимият риск за видео хакване е подслушването, каза Крис Моралес, ръководител на отдела за анализи на сигурността в компанията за киберсигурност Vectra AI, в интервю по имейл.
"Другият риск е прекъсването на сесия със споделени изображения и звуци", каза той. „Мислете за това като за цифрови графити.“
За да се пазят от хакери, потребителите трябва да имат пароли за всички видеоконференции, каза Моралес.
Тази парола не трябва да се публикува публично и трябва да се споделя лично. Модераторът може също по подразбиране да активира заглушаване на всички участници и да деактивира функциите за споделяне на екрана. „Колко силна е тази парола все още ще повлияе на възможността някой да получи достъп до текуща сесия“, добави той. „Но това е много по-добре, отколкото никаква парола.“
