Вы недавно участвовали в видеоконференции, нажимали кнопку отключения звука, а затем отпускали неприятные комментарии о клиенте, коллеге или даже начальнике?
Или, возможно, сидя в конференц-зале с коллегами, тихонько указывая на то, что предложенное действие нарушит условия тайного поглощения на его завершающей стадии?
Если он был убежден, что кнопка отключения звука активно защищает его секрет, то не должен был так думать.
Благодаря впечатляющим экспериментам и исследованиям, проведенным группой ученых из Университета Висконсин-Мэдисон и Университета Лойолы в Чикаго, слова, произнесенные при отключенном звуке приложения, по-прежнему захватываются и записываются в ОЗУ.
На каком-то уровне это то, что мы все уже знали. Когда звук пользователя отключен и он что-то говорит, большинство приложений для видеоконференций отображают примечание, предупреждающее пользователя о том, что он говорит в беззвучном режиме. Как он мог это сказать, если не слушал, когда была включена кнопка отключения звука?
Точно так же, как Siri от Apple или Alexa от Amazon всегда прислушиваются к командному слову, так и эти «приглушенные» приложения.
Реальный вопрос заключается в том, подвержены ли эти захваченные выражения значительному риску того, что их увидит злоумышленник или инсайдер. Во-первых, все, что хранится в энергозависимой памяти, теоретически теряется в момент перезагрузки или выключения компьютера. Поэтому мы исследуем экспозицию после произнесения высказывания и до перезапуска машины. В зависимости от поведения пользователя эта задержка может составлять несколько часов, несколько дней или даже несколько недель.
В общем, украсть данные из энергозависимой памяти сложно, но возможно. Как заявили авторы доклада в панельном интервью, если злоумышленник взломает энергозависимую память, то и пользователю, и компании придется беспокоиться о гораздо большем, чем о каких-то записанных заявлениях, когда их заглушат. Однако это могло случиться.
Проблема молчания основана исключительно на приложении и на том, как оно обрабатывает эти данные.
Одним из ведущих авторов отчета является Кассем Фаваз, доцент кафедры электротехники и вычислительной техники Висконсинского университета в Мэдисоне, также связанного с Висконсинским факультетом компьютерных наук.
«Основные последствия связаны с неотъемлемым доверием пользователей к этим приложениям для видеоконференций», — сказал Фаваз. «Мы не обнаружили никаких признаков вывода звука с пользовательских устройств. Единственным исключением были данные телеметрии, исходящие от Cisco Webex, которые были исправлены после того, как мы сообщили Ciscom. Однако даже когда пользователь нажимает кнопку отключения звука, приложение по-прежнему имеет доступ к аудиопотоку, и пользователь уверен, что приложение работает нормально. Другим следствием является то, что функция отключения звука, аналогичная отключению фотографии устройства, не должна быть оставлена на усмотрение приложения, а должна контролироваться операционной системой или аппаратным обеспечением.
Точка зрения Фаваза о камере заключается в том, что команда обнаружила, что кнопка «выключить» на камере фактически каким-то образом предотвращала захват любого видео. Со звуком не очень. Иногда браузер может иметь значение.
«В Chrome отключение звука означает отключение звука», — сказал Фаваз. «Мы не можем сказать то же самое о Safari или Firefox».
В отчете университета основное внимание уделялось доверию к создателям приложений. Если поставщики действуют честно и соблюдают конфиденциальность, кибербезопасность и соблюдение требований безопасности, риск минимален. Если они этого не сделают, пользователи и компании могут столкнуться с проблемами.
В отчете не делается никаких выводов о поведении создателей приложений, а просто отмечается, что каждый может двигаться в своем направлении.
Тем не менее, здесь должны применяться правила секретности и даже правила хорошего человека. Поскольку сценарий поглощения неизбежен, если вам не разрешено обсуждать определенные детали, не говорите их перед микрофоном с незнакомыми людьми, независимо от того, что показывает кнопка отключения звука. Что касается вежливости, как насчет того, чтобы не говорить неприятных вещей о своих коллегах или клиентах?
Главное правило электронной почты и безопасности/соблюдения требований: «Прежде чем писать электронное письмо/сообщение, представьте, что вы даете показания об этом в открытом суде. Если вам неудобно, не пишите. Продлить не сложно. это правило говорить что-то в микрофон.
Например, я использую Apple Watch. Несколько раз в течение обычного дня вы скажете вслух «Я не понял» или «Вот что я нашел по этой теме». Хотя это очень раздражает и расстраивает, это эффективное напоминание о том, что мне нужно снять часы, прежде чем я скажу что-то, что я не хочу, чтобы мир узнал.
Вы должны помнить то же самое при использовании мобильного устройства или настольного устройства, особенно при использовании приложения для видеоконференций.
© 2022 IDG Communications, Inc.
