Waren Sie kürzlich in einer Videokonferenz, haben die Stummschalttaste gedrückt und dann unangenehme Bemerkungen über einen Kunden, Kollegen oder sogar den Chef gemacht?
Oder vielleicht, während Sie mit Kollegen in einem Konferenzraum saßen und schweigend darauf hinwiesen, dass eine vorgeschlagene Maßnahme gegen die Bedingungen einer geheimen Übernahme in der Endphase verstoßen würde?
Wenn Sie davon überzeugt waren, dass die Stummschalttaste Ihr Geheimnis aktiv schützt, hätten Sie das nicht tun sollen.
Dank beeindruckender Experimente und Forschungen einer Gruppe von Wissenschaftlern der University of Wisconsin-Madison und der Loyola University Chicago werden gesprochene Wörter, während die App stummgeschaltet ist, weiterhin erfasst und im RAM aufgezeichnet.
In gewisser Weise wussten wir das alle bereits. Wenn ein Benutzer stummgeschaltet ist und etwas sagt, zeigen die meisten Videokonferenz-Apps einen Hinweis an, der den Benutzer darauf hinweist, dass er im Stummmodus spricht. Wie konnte er das sagen, wenn er nicht zuhörte, während die Stummschalttaste aktiviert war?
So wie Apples Siri oder Amazons Alexa immer auf ein Befehlswort warten, so sind es auch diese „stummgeschalteten“ Apps.
Die eigentliche Frage ist, ob diese erfassten Ausdrücke einem erheblichen Risiko ausgesetzt sind, von einem Angreifer oder Insider eingesehen zu werden. Erstens geht theoretisch alles, was im flüchtigen Speicher gespeichert ist, verloren, sobald die Maschine neu gestartet oder heruntergefahren wird. Daher untersuchen wir die Belichtung nach der Äußerung und vor dem Zurücksetzen der Maschine. Abhängig vom Verhalten des Benutzers kann diese Verzögerung einige Stunden, einige Tage oder sogar mehrere Wochen betragen.
Im Allgemeinen ist es schwierig, aber nicht unmöglich, Daten aus einem flüchtigen Speicher zu stehlen. Wie die Autoren des Berichts in einem Panel-Interview sagten, haben sowohl der Benutzer als auch das Unternehmen weitaus größere Bedenken als einige aufgezeichnete Aussagen, wenn sie stummgeschaltet sind, wenn ein schlechter Akteur in das flüchtige Gedächtnis eindringt. Es könnte jedoch passieren.
Das Problem der Stille hängt ausschließlich von der Anwendung und der Art und Weise ab, wie diese mit diesen Daten umgeht.
Einer der Hauptautoren des Berichts ist Kassem Fawaz, Assistenzprofessor am Fachbereich Elektrotechnik und Informationstechnik der University of Wisconsin-Madison, der ebenfalls dem Wisconsin Department of Computer Science angegliedert ist.
„Die Hauptauswirkungen beziehen sich auf das inhärente Vertrauen, das Benutzer diesen Videokonferenzanwendungen entgegenbringen“, sagte Fawaz. „Wir haben keine Hinweise auf eine Audioausgabe von den Geräten der Benutzer gefunden. Die einzige Ausnahme waren Telemetriedaten, die von Cisco Webex stammten, die seit unserer Offenlegung gegenüber Cisco korrigiert wurden. Doch selbst wenn der Benutzer die Stummschaltung drückt, hat die App weiterhin Zugriff darauf.“ Beim Streamen von Audiodaten ist der Benutzer zuversichtlich, dass sich die App gut verhält. Die andere Implikation ist, dass die Stummschaltfunktion, ähnlich wie das Ausschalten des Gerätefotos, nicht der Stummschaltung der Anwendung überlassen werden sollte, sondern vom Betriebssystem oder gesteuert werden muss durch die Hardware
Fawaz möchte mit der Kamera sagen, dass das Team herausgefunden hat, dass eine „Aus“-Taste an der Kamera tatsächlich die Aufnahme von Videos in irgendeiner Weise verhindert hat. Nicht so sehr mit dem Ton. Manchmal kann der Browser einen Unterschied machen.
„In Chrome bedeutet stumm stumm“, sagte Fawaz. „Über Safari oder Firefox können wir nicht dasselbe sagen.“
Der Bericht der Universität konzentrierte sich vor allem auf das Vertrauen in App-Ersteller. Wenn Anbieter ehrlich handeln und Datenschutz-, Cybersicherheits- und Sicherheits-Compliance-Anforderungen einhalten, ist das Risiko minimal. Andernfalls könnten Benutzer und Unternehmen auf Probleme stoßen.
Der Bericht zog keine Rückschlüsse auf das Verhalten der App-Ersteller, sondern stellte lediglich fest, dass jeder seinen eigenen Weg gehen kann.
Allerdings sollten hier die Regeln der Geheimhaltung und sogar die Regeln eines guten Menschen gelten. Wenn Sie angesichts des drohenden Übernahmeszenarios bestimmte Details nicht besprechen dürfen, sagen Sie diese nicht vor einem Mikrofon mit Fremden, unabhängig davon, was die Stummschalttaste anzeigt. Und wenn es darum geht, nett zu sein, wie wäre es, wenn Sie keine bösen Kommentare über Ihre Kollegen oder Kunden abgeben würden?
Die Grundregel für E-Mail und Sicherheit/Compliance lautet: „Bevor Sie eine E-Mail/Nachricht schreiben, stellen Sie sich vor, Sie würden vor Gericht darüber aussagen. Wenn Sie sich dabei unwohl fühlen, schreiben Sie es nicht. Es ist nicht schwer, es zu verbreiten.“ Diese Regel gilt, um etwas in ein Mikrofon zu sprechen.
Ich nutze zum Beispiel eine Apple Watch. An einem normalen Tag werden Sie mehrmals laut sagen: „Das habe ich nicht verstanden“ oder „Das habe ich zu diesem Thema gefunden.“ Obwohl es sehr nervig und frustrierend ist, ist es eine wirksame Erinnerung daran, dass ich meine Uhr abnehmen muss, bevor ich etwas sage, von dem ich nicht möchte, dass die Welt es erfährt.
Das Gleiche sollten Sie bei der Nutzung eines Mobilgeräts oder eines Desktop-Geräts beachten, insbesondere bei der Nutzung einer Videokonferenz-App.
Copyright © 2022 IDG Communications, Inc.