Key takeaways
- En fersk rapport fra nettsikkerhetsfirmaet McAfee finner ut at programvare for videosamtaler kan hackes for å spionere på brukere.
- Dating-apper som eHarmony og Plenty of Fish var blant dem som ble identifisert som sårbare for hacking.
- Antallet personer som bruker videokonferanseplattformer har økt dramatisk, med mange mennesker som er tvunget til å jobbe hjemmefra under koronaviruspandemien.
Videosamtalene dine er kanskje ikke så sikre som du tror, ifølge ny forskning.
Cybersikkerhetsfirmaet McAfee har gitt ut en rapport som avdekker en ny sårbarhet i et programvareutviklingssett for videosamtaler (SDK). Hackere kan utnytte denne sårbarheten til å spionere på brukernes direkte video- og lydsamtaler. Datingapper som eHarmony og Plenty of Fish var blant dem som ble identifisert som bruker den sårbare SDK-plattformen.
"Enten du deltar på vanlige virtuelle arbeidsmøter eller fanger opp med utvidede familier over hele verden, som forbruker, er det viktig å innse hva akkurat du går inn på når du laster ned programmer som hjelper deg å holde kontakten," Steve Povolny, leder av McAfee Advanced Threat Research sa i et e-postintervju.
"Når den raske, brede bruken av videokonferanseverktøy og apper skjer, vil potensielle trusler mot nettsikkerheten uunngåelig dukke opp."
Mange trusler mot videochatter
SDK-en, levert av programvarefirmaet Agora.io, kan brukes av applikasjoner for tale- og videokommunikasjon på tvers av mange plattformer, for eksempel mobil og nett. Det er ukjent hvor mange andre apper som kan ha blitt påvirket, sa Povolny.
Siden McAfee oppdaget dette sikkerhetsproblemet, har Agora oppdatert sin SDK for å gi kryptering. Men eksperter sier at mange typer videokommunikasjon fortsatt er sårbare for hacking.
Alt som er koblet til internett kan hackes, påpekte Joseph Carson, sjefssikkerhetsforsker ved cybersikkerhetsfirmaet Thycotic, i et e-postintervju.
"Enhver enhet som inneholder kameraer kan absolutt misbrukes til å ta opp video, analysere disse dataene og utføre tale- eller ansiktsgjenkjenning," la han til.
"I mange hendelser gir ikke leverandørene som produserer dem muligheten til å slå dem av, noe som betyr at de kun fokuserer på brukervennlighet og nesten alltid ofrer sikkerhet som et resultat."
Antall personer som bruker videokonferanseplattformer har økt dramatisk, med mange mennesker som er tvunget til å jobbe hjemmefra under koronaviruspandemien, sa Hank Schless, seniorleder for sikkerhetsløsninger i nettsikkerhetsfirmaet Lookout, i et e-postintervju.
"Ondsinnede aktører vet at det er mange nye brukere som ikke er kjent med appene de kan utnytte," la han til. «I denne typen kampanjer bruker de ofte både ondsinnede nettadresser og falske meldingsvedlegg for å bringe mål til phishing-sider.»
Insiderangrep er den største trusselen
Videosamtaler er mest sårbare når samtalen tas opp og lagres på en tredjepartsserver eller på appleverandørens server, sa Hang Dinh, professor i data- og informasjonsvitenskap ved Indiana University South Bend, i en e-post intervju.
For eksempel lagres videosamtaler på Facebook Messenger på Facebooks servere og kan sees av Facebooks ansatte.
"Hvis en av deres ansatte ikke er forsiktig med sikkerheten, kan samtalene dine bli hacket," la Dinh til. "Husk at Twitter også ble hacket på grunn av en innsiders feil."
For å gjøre kommunikasjonen sikrere, bør brukere velge ende-til-ende-krypterte videosamtaler som WhatsApp, Google Duo, FaceTime og ExtentWorld, sa Dinh.
"Å være ende-til-ende-kryptert betyr at samtalene ikke lagres og dekrypteres på noen tredjepartsservere, inkludert samtaleleverandørens servere," la hun til.
Populær videokonferanseprogramvare Zoom begynte også nylig å tilby ende-til-ende krypterte videosamtaler. Likevel er krypteringsfunksjonen på Zoom ikke slått på som standard, bemerket Dinh.
For de fleste er den største risikoen for videohacking avlytting, sa Chris Morales, leder for sikkerhetsanalyse hos nettsikkerhetsselskapet Vectra AI, i et e-postintervju.
"Den andre risikoen er forstyrrelse av en økt med delte bilder og lyder," sa han. «Tenk på det som digital graffiti.»
For å holde hackere ute, bør brukere ha passord for alle videokonferanser, sa Morales.
Dette passordet skal ikke legges ut offentlig og skal deles privat. Moderatoren kan også, som standard, aktivere demping for alle deltakere og deaktivere skjermdelingsfunksjoner. "Hvor sterkt passordet er vil fortsatt påvirke muligheten for noen til å få tilgang til en gjeldende økt," la han til. "Men det er mye bedre enn ikke noe passord i det hele tatt."
