Ključni podaci za van
- Nedavno izvješće tvrtke za kibernetičku sigurnost McAfee otkriva da bi softver za videopozive mogao biti hakiran kako bi špijunirao korisnike.
- Aplikacije za upoznavanje kao što su eHarmony i Plenty of Fish bile su među onima koje su identificirane kao ranjive na hakiranje.
- Broj ljudi koji koriste platforme za videokonferencije dramatično je porastao, a mnogi su ljudi prisiljeni raditi od kuće tijekom pandemije koronavirusa.
Vaši videopozivi možda nisu tako sigurni kao što mislite, prema novom istraživanju.
Tvrtka za kibernetičku sigurnost McAfee objavila je izvješće koje otkriva novu ranjivost u kompletu za razvoj softvera za videopozive (SDK). Hakeri bi mogli iskoristiti ovu ranjivost za špijuniranje korisničkih video i audio poziva uživo. Aplikacije za upoznavanje partnera kao što su eHarmony i Plenty of Fish bile su među onima za koje je identificirano da koriste ranjivu SDK platformu.
"Bez obzira posjećujete li redovite virtualne radne sastanke ili se družite s proširenom obitelji diljem svijeta, kao potrošač, važno je shvatiti u što se točno upuštate kada preuzimate aplikacije koje vam pomažu da ostanete povezani, " Steve Povolny, voditelj McAfee Advanced Threat Research rekao je u intervjuu e-poštom.
"Kako dolazi do brzog, širokog prihvaćanja alata i aplikacija za videokonferencije, neizbježno će se pojaviti potencijalne prijetnje online sigurnosti."
Mnoge prijetnje video chatovima
SDK, koji osigurava softverska tvrtka Agora.io, mogu koristiti aplikacije za glasovnu i video komunikaciju na mnogim platformama, kao što su mobilne i web. Nije poznato koliko je drugih aplikacija moglo biti pogođeno, rekao je Povolny.
Otkako je McAfee otkrio ovaj sigurnosni problem, Agora je ažurirala svoj SDK kako bi omogućila enkripciju. Ali stručnjaci kažu da su mnoge vrste videokomunikacija i dalje osjetljive na hakiranje.
Sve što je povezano s internetom može biti hakirano, istaknuo je Joseph Carson, glavni znanstvenik za sigurnost u tvrtki za kibernetičku sigurnost Thycotic, u intervjuu e-poštom.
"Svi uređaji koji sadrže kamere apsolutno se mogu zloupotrijebiti za snimanje videa, analizu tih podataka i prepoznavanje glasa ili lica, " dodao je.
"U mnogim slučajevima, dobavljači koji ih proizvode ne daju mogućnost isključivanja, što znači da su usredotočeni isključivo na jednostavnost upotrebe i kao rezultat toga gotovo uvijek žrtvuju sigurnost."
Broj ljudi koji koriste platforme za videokonferencije dramatično je porastao, a mnogi su ljudi prisiljeni raditi od kuće tijekom pandemije koronavirusa, rekao je u intervjuu e-poštom Hank Schless, viši upravitelj sigurnosnih rješenja u tvrtki za kibernetičku sigurnost Lookout.
"Zlonamjerni akteri znaju da postoji mnogo novih korisnika koji nisu upoznati s aplikacijama koje mogu iskoristiti", dodao je. "U ovoj vrsti kampanje često koriste i zlonamjerne URL-ove i lažne privitke poruka kako bi mete doveli na phishing stranice."
Insajderski napadi najveća su prijetnja
Videopozivi su najranjiviji kada se poziv snima i pohranjuje na poslužitelju treće strane ili na poslužitelju davatelja aplikacije, Hang Dinh, profesor računalnih i informacijskih znanosti na Sveučilištu Indiana South Bend, rekao je u e-poruci intervju.
Na primjer, video pozivi na Facebook Messengeru pohranjuju se na Facebookovim poslužiteljima i mogu ih pregledavati Facebookovi zaposlenici.
"Ako jedan od njihovih zaposlenika nije pažljiv sa sigurnošću, vaši pozivi mogu biti hakirani", dodao je Dinh. "Zapamtite da je Twitter također hakiran zbog insajderske pogreške."
Kako bi njihova komunikacija bila sigurnija, korisnici bi trebali odabrati end-to-end kriptirane videopozive kao što su WhatsApp, Google Duo, FaceTime i ExtentWorld, rekao je Dinh.
"Budući da su end-to-end kriptirani znači da se pozivi ne pohranjuju i dešifriraju ni na jednom poslužitelju treće strane, uključujući poslužitelje pružatelja poziva", dodala je.
Popularni softver za video konferencije Zoom također je nedavno počeo nuditi end-to-end enkriptirane video pozive. Ipak, značajka enkripcije na Zoomu nije uključena prema zadanim postavkama, primijetio je Dinh.
Za većinu ljudi, najveći rizik za video hakiranje je prisluškivanje, rekao je Chris Morales, voditelj sigurnosne analitike u tvrtki za kibernetičku sigurnost Vectra AI, u intervjuu e-poštom.
"Drugi rizik je prekid sesije zajedničkim slikama i zvukovima", rekao je. "Razmišljajte o tome kao o digitalnim grafitima."
Kako bi spriječili hakere, korisnici bi trebali imati lozinke za sve videokonferencije, rekao je Morales.
Ta zaporka ne bi trebala biti javno objavljena i trebala bi se dijeliti privatno. Moderator također može prema zadanim postavkama omogućiti isključivanje zvuka za sve sudionike i onemogućiti značajke dijeljenja zaslona. "Koliko je ta lozinka jaka i dalje će utjecati na mogućnost da netko pristupi trenutnoj sesiji", dodao je. "Ali to je puno bolje nego da nema nikakve lozinke."
