Key takeaways
- En nylig rapport fra cybersikkerhedsfirmaet McAfee konstaterer, at videoopkaldssoftware kunne hackes for at spionere på brugere.
- Datingapps såsom eHarmony og Plenty of Fish var blandt dem, der blev identificeret som sårbare over for hacking.
- Antallet af mennesker, der bruger videokonferenceplatforme, er steget dramatisk, og mange mennesker er tvunget til at arbejde hjemmefra under coronavirus-pandemien.
Dine videoopkald er muligvis ikke så sikre, som du tror, ifølge ny forskning.
Cybersikkerhedsfirmaet McAfee har udgivet en rapport, der afslører en ny sårbarhed i et softwareudviklingssæt til videoopkald (SDK). Hackere kunne udnytte denne sårbarhed til at spionere på brugernes live video- og lydopkald. Datingapps såsom eHarmony og Plenty of Fish var blandt dem, der blev identificeret som bruger den sårbare SDK-platform.
"Uanset om du deltager i regelmæssige virtuelle arbejdsmøder eller indhenter en udvidet familie over hele kloden, er det som forbruger vigtigt at indse, hvad du præcist går ind til, når du downloader programmer, der hjælper dig med at holde forbindelsen," Steve Povolny, leder af McAfee Advanced Threat Research sagde i et e-mailinterview.
"I takt med den hurtige, brede anvendelse af videokonferenceværktøjer og -apps, vil potentielle trusler mod onlinesikkerhed uundgåeligt dukke op."
Mange trusler mod videochat
SDK'et, leveret af softwarefirmaet Agora.io, kan bruges af applikationer til tale- og videokommunikation på tværs af mange platforme, såsom mobil og web. Det er uvist, hvor mange andre apps der kunne være blevet påvirket, sagde Povolny.
Siden McAfee opdagede dette sikkerhedsproblem, har Agora opdateret sin SDK til at levere kryptering. Men eksperter siger, at mange typer videokommunikation fortsat er sårbare over for hacking.
Alt, der er forbundet til internettet, kan hackes, påpegede Joseph Carson, chefsikkerhedsforsker hos cybersikkerhedsfirmaet Thycotic, i et e-mailinterview.
"Enhver enhed, der indeholder kameraer, kan absolut misbruges til at optage video, analysere disse data og udføre stemme- eller ansigtsgenkendelse," tilføjede han.
"I mange hændelser giver de leverandører, der fremstiller dem, ikke mulighed for at slukke dem, hvilket betyder, at de udelukkende fokuserer på brugervenlighed og næsten altid ofrer sikkerheden som følge heraf."
Antallet af mennesker, der bruger videokonferenceplatforme, er steget dramatisk, og mange mennesker er tvunget til at arbejde hjemmefra under coronavirus-pandemien, sagde Hank Schless, seniorchef for sikkerhedsløsninger hos cybersikkerhedsfirmaet Lookout, i et e-mailinterview.
"Ondsindede aktører ved, at der er mange nye brugere, som ikke er bekendt med de apps, de kan udnytte," tilføjede han. "I denne type kampagner bruger de ofte både ondsindede webadresser og falske vedhæftede filer til at bringe mål til phishing-sider."
Insiderangreb er den største trussel
Videoopkald er mest sårbare, når opkaldet optages og gemmes på en tredjepartsserver eller på app-udbyderens server, sagde Hang Dinh, professor i computer- og informationsvidenskab ved Indiana University South Bend, i en e-mail interview.
For eksempel gemmes videoopkald på Facebook Messenger på Facebooks servere og kan ses af Facebooks medarbejdere.
"Hvis en af deres medarbejdere ikke er forsigtig med sikkerheden, kan dine opkald blive hacket," tilføjede Dinh. "Husk, at Twitter også blev hacket på grund af en insiders skyld."
For at gøre deres kommunikation mere sikker bør brugere vælge end-to-end krypterede videoopkald som WhatsApp, Google Duo, FaceTime og ExtentWorld, sagde Dinh.
"At være ende-til-ende-krypteret betyder, at opkaldene ikke gemmes og dekrypteres på nogen tredjepartsserver, inklusive opkaldsudbyderens servere," tilføjede hun.
Populær videokonferencesoftware Zoom begyndte også for nylig at tilbyde ende-til-ende krypterede videoopkald. Alligevel er krypteringsfunktionen på Zoom ikke slået til som standard, bemærkede Dinh.
For de fleste mennesker er den største risiko for videohacking aflytning, sagde Chris Morales, chef for sikkerhedsanalyse hos cybersikkerhedsvirksomheden Vectra AI, i et e-mailinterview.
"Den anden risiko er afbrydelse af en session med delte billeder og lyde," sagde han. "Tænk på det som digital graffiti."
For at holde hackere ude bør brugere have adgangskoder til alle videokonferencer, sagde Morales.
Denne adgangskode bør ikke offentliggøres og bør deles privat. Moderatoren kan også som standard aktivere mute på alle deltagere og deaktivere skærmdelingsfunktioner. "Hvor stærk den adgangskode er, vil stadig påvirke muligheden for nogen til at få adgang til en aktuel session," tilføjede han. "Men det er meget bedre end slet ingen adgangskode."