Kyberturvallisuusyhtiö McAfeen tuore raportti paljastaa, että videopuheluohjelmistot voidaan hakkeroida käyttäjien vakoilemiseksi.
Treffisovellukset, kuten eHarmony ja Plenty of Fish, olivat hakkerointialttiita.
Videoneuvottelualustoja käyttävien ihmisten määrä on lisääntynyt dramaattisesti, ja monet ihmiset ovat joutuneet työskentelemään kotoa koronaviruspandemian aikana.
Uusien tutkimusten mukaan videopuhelusi eivät välttämättä ole niin turvallisia kuin luulet. Kyberturvallisuusyritys McAfee on julkaissut raportin, jossa se on löytänyt uuden haavoittuvuuden videopuheluohjelmiston kehityssarjassa (SDK). Hakkerit voivat hyödyntää tätä haavoittuvuutta vakoillakseen käyttäjien suoria video- ja äänikeskusteluja. Treffisovellukset, kuten eHarmony ja Plenty of Fish, olivat haavoittuvan SDK-alustan käyttäjiä. «Osallistutpa säännöllisesti virtuaalisiin työkokouksiin tai tapaat suurperheen kanssa ympäri maailmaa, kuluttajana on tärkeää ymmärtää tarkasti, mihin olet ryhtymässä lataaessasi sovelluksia, jotka auttavat sinua pysymään yhteydessä», Steve Povolny, McAfee Advancedin toimitusjohtaja. Threat Research sanoi sähköpostihaastattelussa. «Kun videoneuvottelutyökalut ja -sovellukset otetaan nopeasti ja laajalti käyttöön, mahdollisia verkkoturvallisuuden uhkia ilmaantuu väistämättä.»
Monet uhkaukset videokeskusteluille
Ohjelmistoyhtiö Agora.io:n tarjoamaa SDK:ta voidaan käyttää puhe- ja videoviestintäsovelluksissa monilla alustoilla, kuten mobiilissa ja verkossa. Ei tiedetä, kuinka moniin muihin sovelluksiin voi vaikuttaa, Povolny sanoi. Siitä lähtien, kun McAfee havaitsi tämän tietoturva-aukon, Agora on päivittänyt SDK:n tarjoamaan salauksen. Mutta asiantuntijat sanovat, että monet videoviestintätyypit ovat edelleen haavoittuvia hakkerointiin. Kaikkea Internetiin liitettyä voidaan hakkeroida, kyberturvallisuusyhtiö Thycoticin johtava tietoturvatutkija Joseph Carson sanoi sähköpostihaastattelussa.
«Kameroita sisältävää laitetta voidaan ehdottomasti käyttää väärin videon tallentamiseen, tietojen analysointiin ja äänen tai kasvojentunnistuksen suorittamiseen», hän lisäsi. «Monissa tapauksissa niitä valmistavat toimittajat eivät tarjoa mahdollisuutta poistaa niitä käytöstä, mikä tarkoittaa, että he keskittyvät puhtaasti helppokäyttöisyyteen ja melkein aina uhraavat turvallisuuden sen seurauksena.» Videoneuvottelualustoja käyttävien ihmisten määrä on lisääntynyt dramaattisesti, ja monet ihmiset ovat joutuneet työskentelemään kotoa koronaviruspandemian aikana, kyberturvallisuusyritys Lookoutin tietoturvaratkaisujen johtaja Hank Schless sanoi sähköpostihaastattelussa. «Haitalliset toimijat tietävät, että on monia uusia käyttäjiä, jotka eivät tunne sovelluksia, joita he voivat hyödyntää», hän lisäsi. «Tällaisissa kampanjoissa he käyttävät usein sekä haitallisia URL-osoitteita että väärennettyjä viestien liitteitä ohjatakseen kohteet tietojenkalastelusivuille.»
Sisäpiirihyökkäykset ovat suurin uhka
Videopuhelut ovat haavoittuvimpia, kun puhelu tallennetaan ja tallennetaan kolmannen osapuolen palvelimelle tai sovellustoimittajan palvelimelle, sanoi Hang Dinh, Indianan yliopiston South Bendin tietojenkäsittely- ja tietotieteen professori sähköpostihaastattelussa. Esimerkiksi Facebook Messengerin videokeskustelut tallennetaan Facebookin palvelimille ja Facebookin työntekijät voivat katsella niitä. «Jos joku heidän työntekijöistään ei ole varovainen turvallisuuden suhteen, puhelunne voidaan hakkeroida», Dinh lisäsi. «Muista, että Twitteriin hakkeroitiin myös sisäpiiriläisen syyn vuoksi.»
Jotta viestintä olisi turvallisempaa, käyttäjien tulisi valita päästä päähän -salatut videopuhelut, kuten WhatsApp, Google Duo, FaceTime ja ExtentWorld, Dinh sanoi. «Päästä päähän salattu tarkoittaa, että puheluita ei tallenneta ja salausta puretaan millään kolmannen osapuolen palvelimella, mukaan lukien palveluntarjoajan palvelimilla», hän lisäsi. Suosittu videoneuvotteluohjelmisto Zoom on myös hiljattain alkanut tarjota päästä päähän -salattuja videopuheluita. Silti Zoomin salausominaisuus ei ole oletusarvoisesti käytössä, Dinh huomautti. Useimmille ihmisille salakuuntelu on suurin videon hakkerointiriski, Chris Morales, kyberturvallisuusyrityksen Vectra AI:n tietoturva-analytiikkapäällikkö, sanoi sähköpostihaastattelussa. «Toinen riski on jaettujen kuvien ja äänien istunnon keskeytyminen», hän sanoi. «Ajattele sitä digitaalisena graffitina.» Jotta hakkerit pysyisivät poissa, käyttäjillä on oltava salasanat kaikissa videoneuvotteluissa, Morales sanoi. Tätä salasanaa ei saa julkaista julkisesti, ja se tulee jakaa yksityisesti. Moderaattori voi myös ottaa mykistyksen käyttöön oletusarvoisesti kaikille osallistujille ja poistaa näytön jakamisominaisuudet käytöstä. «Se, kuinka vahva salasana on, vaikuttaa edelleen jonkun kykyyn käyttää nykyistä istuntoa», hän lisäsi. «Mutta se on paljon parempi kuin ilman salasanaa.»
