Videoneuvottelusovellukset löysivät kyselevän mikrofonia myös mykistettynä

Ihmiset, jotka kiinnittävät mustaa teippiä kannettavan tietokoneensa kameran päälle, saavat aina muutaman kulmakarvan kohoamaan huoneessa. Näyttää kuitenkin siltä, että samanlaiset näennäisesti äärimmäiset varotoimet eivät välttämättä ole tarpeettomia. Yliopistotutkijoiden tuoreessa yhteisjulkaisussa paljastui, että monet erittäin suositut videoneuvottelusovellukset kyselevät mikrofonia ja lähettävät dataa, vaikka mikrofoni olisi mykistetty ohjelmiston asetuksista.

Onko tämä juttu päällä?

Löytön tekivät Wisconsinin yliopiston ja Chicagon Loyola Universityn tiimit. Heidän julkaisemansa paperin nimi oli "Are You Really Muted?" ja paljasti joitain hyvin outoja yksityiskohtia siitä, kuinka videoneuvotteluohjelmisto käsittelee järjestelmäsi mikrofonia.

Paperi osoittaa, että monet ääni- ja videokeskusteluihin käytetyt suositut sovellukset seuraavat mikrofonia myös sen jälkeen, kun käyttäjä on painanut "mykistä". Tämä ei automaattisesti tarkoita sitä, että joku voisi kuunnella sinua, mutta tutkijat havaitsivat, että tämän seurantaprosessin aikana välitetyn telemetrian datan avulla voidaan tunnistaa taustaäänet ja käyttäjän mahdollisesti tekemät toiminnot, ja tämä voidaan tehdä korkea varmuuden taso.

Yliopistotiimit keksivät, mitä paperi kutsuu "proof-of-concept-taustatoimintojen luokittelijaksi", joka pystyi ottamaan taustatoiminnot sormenjäljet ja poistamaan telemetriatiedot jo mykistyneestä mikrofonista.

Sovellukset, joiden havaittiin kyselevän mikrofonia, kun laite on mykistetty, sisältävät enemmän tai vähemmän kaikki suuret videoneuvottelusovellukset. Lista sisältää Discordin, Ciscon Webexin, Google Meetin, Skypen ja Microsoft Teamsin sekä Slackin ja Zoomin. Kaikki eivät olleet alttiita samanlaiselle valvonnalle, koska kaikki selaimessa toimivat sovellukset käyttivät selaimen sisäistä, ohjelmiston mykistystä, joka kommunikoi suoraan ääniohjaimen kanssa ja katkaisee mikrofonin tiedonsiirron.

Webex-ongelmat on käsitelty osittain

Webex oli tässä tutkimuksessa hieman erottuva tapaus, sillä tutkijat havaitsivat, että jopa mykistetty mikrofoni Webexin äänipuskureissa olisi edelleen raakaa ääntä. Tutkijat voivat myös siepata sovelluksen pelkkänä tekstinä lähetettävää telemetriaa ja käyttää sitä käyttäjien taustalla tapahtuvan toiminnan tunnistamiseen. Cisco otti yhteyttä Security Weekiin, joka raportoi tutkimuspaperista ja totesi, että tarkkailtava data rajoittui äänenvoimakkuuden tasoihin ja vahvistukseen ja että sen tarkoituksena oli vain "tukea käyttäjäkokemusta ja vianetsintää". Yhtiö totesi lisäksi, että tämä vianetsintään liittyvä tiedonkeruu lopetettiin ja käyttäjät voivat ottaa yhteyttä yhtiöön lisätietosuojakysymyksissä ja pyytää kaikkien tietojen poistamista kokonaan käytöstä.