Nút "MUTE" hay "Tắt tiếng" trong ứng dụng hội nghị online có thể không thực sự tắt tiếng micrô của bạn
Một nghiên cứu mới cho thấy rằng việc nhấn nút tắt tiếng trên các ứng dụng họp video phổ biến (VCA-video conferencing apps) có thể không thực sự hoạt động như bạn nghĩ, với các ứng dụng vẫn nghe trên micrô của bạn.
Cụ thể hơn, trong phần mềm được dùng để nghiên cứu, việc nhấn tắt tiếng không ngăn âm thanh được truyền đến máy chủ của ứng dụng, liên tục hoặc định kỳ.
Do hoạt động này không được ghi lại trong các chính sách bảo mật liên quan, người dùng hiểu kém về cách hoạt động của hệ thống tắt tiếng, nhận định sai lầm rằng đầu vào âm thanh bị cắt khi họ kích hoạt.
Sự hiểu lầm này được phản ánh trong giai đoạn đầu của nghiên cứu, xoay quanh việc khảo sát 223 người dùng các ứng dụng họp video về kỳ vọng của họ khi nhấn tắt tiếng. Hầu hết (77,5%) người được hỏi cho rằng không thể chấp nhận được việc các ứng dụng tiếp tục truy cập vào micrô và có thể thu thập dữ liệu khi chế độ tắt tiếng đang hoạt động. Nghiên cứu được thực hiện bởi một nhóm các nhà nghiên cứu tại Đại học Wisconsin-Madison và Đại học Loyola ở Chicago, họ đã xuất bản một bài báo về kết quả của họ.
Khi nút tắt tiếng không thực sự tắt tiếng
Là một phần của nghiên cứu, các nhà nghiên cứu đã thực hiện phân tích nhị phân thời gian chạy kỹ lưỡng của các ứng dụng được chọn để xác định loại dữ liệu mà mỗi ứng dụng thu thập và liệu dữ liệu đó có tạo thành rủi ro về quyền riêng tư hay không.
Các ứng dụng được thử nghiệm trong giai đoạn này của nghiên cứu là Zoom, Slack, MS Teams / Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet và Discord.
Các ứng dụng họp video đã được thử nghiệm - vòng tròn là ứng dụng web
(wiscprivacy)
Nhóm nghiên cứu đã theo dõi âm thanh thô được truyền từ các ứng dụng tới trình điều khiển âm thanh của hệ điều hành cơ bản và cuối cùng là đến mạng. Bằng cách này, họ có thể xác định những thay đổi nào thực sự xảy ra khi người dùng nhấn 'tắt tiếng'.
Họ nhận thấy rằng bất kể trạng thái tắt tiếng, tất cả các ứng dụng đôi khi thu thập dữ liệu âm thanh, ngoại trừ các ứng dụng người sử dụng web sử dụng tính năng tắt tiếng phần mềm của trình duyệt.
Trong tất cả các trường hợp khác, các ứng dụng lấy mẫu âm thanh không liên tục vì nhiều lý do chức năng hoặc không rõ ràng.
Zoom, có thể là ứng dụng họp video phổ biến nhất trên toàn thế giới, được phát hiện là chủ động theo dõi xem người dùng có đang nói chuyện ngay cả khi họ đang ở chế độ tắt tiếng hay không.
Luồng dữ liệu âm thanh ứng dụng họp video trên Windows 10 (wiscprivacy)
Theo nghiên cứu, trường hợp tệ nhất là Cisco Webex, tiếp tục nhận dữ liệu âm thanh thô từ micrô của người dùng và truyền nó đến máy chủ của nhà cung cấp theo đúng cách mà nó đã làm khi bị tắt tiếng.
"Phát hiện của chúng tôi cho thấy rằng, trái với tuyên bố trong chính sách quyền riêng tư, Webex giám sát, thu thập, xử lý và chia sẻ với máy chủ của mình dữ liệu thu được từ âm thanh, trong khi người dùng bị tắt tiếng", bài báo kỹ thuật hỗ trợ nghiên cứu cho biết.
"Để thông báo cho Cisco về kết quả điều tra của chúng tôi, chúng tôi đã mở một tiết lộ có trách nhiệm với Cisco về những phát hiện của chúng tôi. Kể từ tháng 2 năm 2022, nhóm kỹ sư Webex và nhóm Quyền riêng tư của họ đang tích cực làm việc để giải quyết vấn đề này."
Một vấn đề bảo mật lớn hơn?
Ngay cả khi khía cạnh kỳ vọng sai lệch về quyền riêng tư của người dùng bị gạt sang một bên, một số lo ngại về bảo mật phát sinh từ hành vi này.
Ngay cả đối với các ứng dụng thu thập dữ liệu âm thanh hạn chế khi bị tắt tiếng, các nhà nghiên cứu nhận thấy rằng có thể sử dụng dữ liệu đó để giải mã 82% thời gian người dùng đang làm gì, bằng cách sử dụng một thuật toán học máy đơn giản. Điều đó liên quan đến việc phân loại hoạt động thô bạo như gõ bàn phím, nấu ăn, ăn uống, nghe nhạc, hút bụi, v.v.
Các cụm phân loại dữ liệu âm thanh(wiscprivacy)
Ngay cả khi các nhà cung cấp bảo mật máy chủ của họ, mã hóa truyền dữ liệu và nhân viên của họ tuân thủ các thỏa thuận nghiêm ngặt về chống lạm dụng thì một cuộc tấn công trung gian có thể dẫn đến việc mục tiêu bị lộ diện không mong muốn.
Bởi vì VCA được sử dụng bởi các giám đốc điều hành công ty cấp cao, thành viên của ban an ninh quốc gia và các chính trị gia hàng đầu quốc gia, vì vậy việc rò rỉ dữ liệu trong khi chế độ tắt tiếng đang hoạt động có thể khá nguy hiểm.
Bạn có thể làm gì?
Trước tiên, hãy đọc chính sách bảo mật để hiểu rõ hơn về cách dữ liệu của bạn được quản lý và những rủi ro nào liên quan đến việc sử dụng một sản phẩm phần mềm cụ thể.
Thứ hai, nếu micro của bạn được kết nối với máy tính thông qua cáp USB hoặc giắc cắm, bạn cũng có thể rút phích cắm khi tắt tiếng.
Thứ ba, bạn có thể sử dụng cài đặt điều khiển âm thanh của hệ điều hành để tắt tiếng kênh đầu vào của micrô để mọi ứng dụng sẽ nhận được âm lượng bằng 0.
Đó là tất cả các bước rườm rà đối với hầu hết người dùng, nhưng đối với các trường hợp đặc biệt quan trọng, việc đảm bảo quyền riêng tư cuối cùng rất cần thiết để bổ sung.
Cập nhật ngày 15 tháng 4 - Người phát ngôn của Cisco Webex đã gửi cho Bleeping Computer tuyên bố sau về những phát hiện của báo cáo:
Cisco đã biết về báo cáo này và cảm ơn các nhà nghiên cứu đã thông báo cho chúng tôi về nghiên cứu của họ.
Webex sử dụng dữ liệu đo từ xa của micro để cho người dùng biết họ đang bị tắt tiếng, được gọi là tính năng "tắt tiếng thông báo".
Cisco rất coi trọng vấn đề bảo mật cho các sản phẩm của mình và đây không phải là một lỗ hổng trong Webex.
Vào tháng 1 năm 2022, Cisco đã thay đổi tính năng để không còn truyền dữ liệu đo từ xa qua micro nữa.
Nguồn: bleepingcomputer.com
Bạn cũng có thể quan tâm
John&Partners, LLC. Cybersecurity
7443 Brompton, Houston, Texas 77025 , USA