Key Takeaways
- Nedavni izvještaj firme za kibernetičku sigurnost McAfee otkriva da bi softver za video pozive mogao biti hakovan kako bi špijunirao korisnike.
- Aplikacije za upoznavanje kao što su eHarmony i Plenty of Fish bile su među onima koji su identificirani kao ranjivi na hakovanje.
- Broj ljudi koji koriste platforme za video konferencije drastično se povećao, a mnogi ljudi su bili primorani da rade od kuće tokom pandemije koronavirusa.
Vaši video pozivi možda nisu sigurni kao što mislite, prema novom istraživanju.
Firma za kibernetičku sigurnost McAfee objavila je izvještaj koji otkriva novu ranjivost u kompletu za razvoj softvera za video pozive (SDK). Hakeri bi mogli iskoristiti ovu ranjivost za špijuniranje korisničkih video i audio poziva uživo. Aplikacije za upoznavanje kao što su eHarmony i Plenty of Fish bile su među onima za koje je identificirano da koriste ranjivu SDK platformu.
"Bilo da prisustvujete redovnim virtuelnim radnim sastancima ili sustižete širu porodicu širom sveta, kao potrošač, važno je da shvatite u šta se tačno upuštate kada preuzimate aplikacije koje vam pomažu da ostanete povezani", Steve Povolny, šef McAfee Advanced Threat Research rekao je u intervjuu putem e-pošte.
"Kako dođe do brzog, širokog usvajanja alata i aplikacija za video konferencije, neizbježno će se pojaviti potencijalne prijetnje sigurnosti na mreži."
Mnoge prijetnje video razgovorima
SDK, koji obezbeđuje softverska firma Agora.io, mogu da koriste aplikacije za glasovnu i video komunikaciju na mnogim platformama, kao što su mobilne i web. Nije poznato koliko je drugih aplikacija moglo biti pogođeno, rekao je Povolny.
Otkad je McAfee otkrio ovaj sigurnosni problem, Agora je ažurirala svoj SDK kako bi omogućila enkripciju. Ali stručnjaci kažu da su mnoge vrste video komunikacija i dalje podložne hakiranju.
Sve što je povezano s internetom može biti hakovano, istakao je Joseph Carson, glavni naučnik za sigurnost u kompaniji za kibernetičku sigurnost Thycotic, u intervjuu e-poštom.
"Svi uređaji koji sadrže kamere mogu se apsolutno zloupotrebiti za snimanje videa, analizu tih podataka i prepoznavanje glasa ili lica", dodao je.
"U mnogim incidentima, dobavljači koji ih proizvode ne pružaju mogućnost da ih isključe, što znači da se fokusiraju isključivo na jednostavnost upotrebe i gotovo uvijek žrtvuju sigurnost kao rezultat."
Broj ljudi koji koriste platforme za video konferencije dramatično se povećao, a mnogi ljudi su bili primorani da rade od kuće tokom pandemije koronavirusa, rekao je Hank Schless, viši menadžer sigurnosnih rješenja u kompaniji Lookout za sajber sigurnost, u intervjuu putem e-pošte.
"Zlonamjerni akteri znaju da ima mnogo novih korisnika koji nisu upoznati s aplikacijama koje mogu iskoristiti", dodao je. "U ovoj vrsti kampanje često koriste i zlonamjerne URL-ove i lažne priloge poruka kako bi doveli mete na phishing stranice."
Insajderski napadi su najveća prijetnja
Video pozivi su najranjiviji kada se poziv snima i pohranjuje na serveru treće strane ili na serveru provajdera aplikacije, rekao je Hang Dinh, profesor računarstva i informacionih nauka na Univerzitetu Indiana South Bend u e-poruci intervju.
Na primjer, video pozivi na Facebook Messenger-u su pohranjeni na Facebook-ovim serverima i mogu ih vidjeti zaposlenici Facebook-a.
"Ako neko od njihovih zaposlenika ne pazi na sigurnost, vaši pozivi mogu biti hakovani", dodao je Dinh. "Zapamtite da je Twitter takođe hakovan zbog greške insajdera."
Da bi svoju komunikaciju učinili sigurnijom, korisnici bi trebali odabrati end-to-end šifrirane video pozive kao što su WhatsApp, Google Duo, FaceTime i ExtentWorld, rekao je Dinh.
"Biti end-to-end šifrirani znači da se pozivi ne pohranjuju i dešifriraju ni na jednom serveru treće strane, uključujući servere provajdera poziva", dodala je.
Popularni softver za video konferencije Zoom je takođe nedavno počeo da nudi end-to-end šifrovane video pozive. Ipak, funkcija šifriranja na Zoom-u nije uključena prema zadanim postavkama, primijetio je Dinh.
Za većinu ljudi, najznačajniji rizik za hakiranje videa je prisluškivanje, rekao je Chris Morales, šef sigurnosne analitike u kompaniji za cyber sigurnost Vectra AI, u intervjuu putem e-pošte..
"Drugi rizik je prekid sesije sa zajedničkim slikama i zvukovima," rekao je on. "Razmišljajte o tome kao o digitalnim grafitima."
Da bi se zaštitili od hakera, korisnici bi trebali imati lozinke za sve video konferencije, rekao je Morales.
Ta lozinka ne bi trebala biti objavljena javno i treba je dijeliti privatno. Moderator također može, prema zadanim postavkama, omogućiti isključenje zvuka za sve učesnike i onemogućiti funkcije dijeljenja ekrana. "Koliko je jaka ta lozinka i dalje će uticati na mogućnost da neko pristupi trenutnoj sesiji", dodao je. "Ali to je mnogo bolje nego bez lozinke."
