Sleutel wegneemetes
- 'n Onlangse verslag deur die kuberveiligheidsfirma McAfee bevind dat video-oproepsagteware gekap kan word om op gebruikers te spioeneer.
- Afspraakprogramme soos eHarmony en Plenty of Fish was onder diegene wat geïdentifiseer is as kwesbaar vir inbraak.
- Die aantal mense wat videokonferensieplatforms gebruik, het dramaties toegeneem, met baie mense wat gedwing is om van die huis af te werk tydens die koronaviruspandemie.
Jou video-oproepe is dalk nie so veilig as wat jy dink nie, volgens nuwe navorsing.
Cybersecurity-firma McAfee het 'n verslag vrygestel wat 'n nuwe kwesbaarheid in 'n video-oproep-sagteware-ontwikkelingskit (SDK) ontbloot. Kuberkrakers kan hierdie kwesbaarheid uitbuit om op gebruikers se regstreekse video- en oudio-oproepe te spioeneer. Afspraakprogramme soos eHarmony en Plenty of Fish was onder diegene wat geïdentifiseer is as die gebruik van die kwesbare SDK-platform.
"Of jy nou gereelde virtuele werksvergaderings bywoon of die uitgebreide familie regoor die wêreld inhaal, as 'n verbruiker, dit is belangrik om te besef wat presies jy aangaan wanneer jy toepassings aflaai wat jou help om verbind te bly," Steve Povolny, hoof van McAfee Advanced Threat Research het in 'n e-posonderhoud gesê.
"Namate die vinnige, breë aanvaarding van videokonferensienutsmiddels en -toepassings plaasvind, sal potensiële bedreigings vir aanlynveiligheid onvermydelik na vore kom."
Baie bedreigings vir videokletse
Die SDK, verskaf deur die sagtewarefirma Agora.io, kan deur toepassings vir stem- en videokommunikasie oor baie platforms, soos selfoon en web, gebruik word. Dit is onbekend hoeveel ander programme geraak kon word, het Povolny gesê.
Sedert McAfee hierdie sekuriteitskwessie ontdek het, het Agora sy SDK opgedateer om enkripsie te verskaf. Maar kenners sê dat baie soorte videokommunikasie kwesbaar bly vir inbraak.
Enigiets wat aan die internet gekoppel is, kan gekap word, het Joseph Carson, hoofsekuriteitswetenskaplike by die kuberveiligheidsfirma Thycotic, in 'n e-posonderhoud uitgewys.
"Enige toestelle wat kameras bevat kan absoluut misbruik word om video op te neem, daardie data te ontleed en stem- of gesigsherkenning uit te voer," het hy bygevoeg.
"In baie voorvalle bied die verkopers wat dit vervaardig nie die vermoë om dit af te skakel nie, wat beteken dat hulle suiwer fokus op gebruiksgemak en byna altyd sekuriteit as gevolg daarvan opoffer."
Die aantal mense wat videokonferensieplatforms gebruik, het dramaties toegeneem, met baie mense wat gedwing is om van die huis af te werk tydens die koronaviruspandemie, het Hank Schless, senior bestuurder van sekuriteitsoplossings by die kuberveiligheidsfirma Lookout, in 'n e-posonderhoud gesê.
"Kwaadwillige akteurs weet dat daar baie nuwe gebruikers is wat nie vertroud is met die toepassings wat hulle kan ontgin nie," het hy bygevoeg. "In hierdie tipe veldtog gebruik hulle dikwels beide kwaadwillige URL's en vals boodskapaanhegsels om teikens na uitvissingbladsye te bring."
Insider-aanvalle is die grootste bedreiging
Video-oproepe is die kwesbaarste wanneer die oproep opgeneem en op 'n derdeparty-bediener of op die toepassingverskaffer se bediener gestoor word, het Hang Dinh, 'n professor in rekenaar- en inligtingwetenskappe aan Indiana University South Bend, in 'n e-pos gesê onderhoud.
Byvoorbeeld, video-oproepe op Facebook Messenger word op Facebook se bedieners gestoor en kan deur Facebook se werknemers bekyk word.
"As een van hul werknemers nie versigtig is met sekuriteit nie, kan jou oproepe gehack word," het Dinh bygevoeg. "Onthou dat Twitter ook gekap is weens 'n insider se skuld."
Om hul kommunikasie veiliger te maak, moet gebruikers end-tot-end geënkripteerde video-oproepe soos WhatsApp, Google Duo, FaceTime en ExtentWorld kies, het Dinh gesê.
"Om end-tot-end geënkripteer te wees, beteken dat die oproepe nie op enige derdeparty-bediener gestoor en gedekripteer word nie, insluitend die oproepverskaffer se bedieners," het sy bygevoeg.
Gewilde videokonferensie-sagteware Zoom het ook onlangs begin om end-tot-end geënkripteerde video-oproepe aan te bied. Tog is die enkripsiekenmerk op Zoom nie by verstek aangeskakel nie, het Dinh opgemerk.
Vir die meeste mense is die grootste risiko vir videokrakery afluistering, het Chris Morales, hoof van sekuriteitsanalise by die kuberveiligheidsmaatskappy Vectra AI, in 'n e-posonderhoud gesê.
"Die ander risiko is die ontwrigting van 'n sessie met gedeelde beelde en klanke," het hy gesê. "Dink daaraan soos digitale graffiti."
Om kuberkrakers uit te hou, moet gebruikers wagwoorde vir alle videokonferensies hê, het Morales gesê.
Daardie wagwoord moet nie publiek geplaas word nie en moet privaat gedeel word. Die moderator kan ook, by verstek, demp op alle deelnemers aktiveer en skermdeelkenmerke deaktiveer. "Hoe sterk daardie wagwoord is, sal steeds die vermoë beïnvloed vir iemand om toegang tot 'n huidige sessie te kry," het hy bygevoeg. "Maar dit is baie beter as geen wagwoord nie."
