Haben Sie kürzlich an einer Videokonferenz teilgenommen, die Stummschalttaste gedrückt und dann böse Kommentare über einen Kunden oder Kollegen oder sogar den Chef abgegeben?
Oder vielleicht während Sie mit Kollegen in einem Konferenzraum sitzen und schweigend darauf hinweisen, dass eine geplante Aktion in ihrer Endphase gegen die Bedingungen einer geheimen Übernahme verstoßen würde?
Wenn er davon überzeugt war, dass der Stummschaltknopf sein Geheimnis aktiv schützt, hätte er es nicht sein sollen.
Dank beeindruckender Experimente und Forschung einer Gruppe von Wissenschaftlern der University of Wisconsin-Madison und der Loyola University Chicago werden gesprochene Worte, während die App stummgeschaltet ist, weiterhin erfasst und im RAM aufgezeichnet.
In gewisser Weise wussten wir das alle schon. Wenn ein Benutzer stummgeschaltet ist und etwas sagt, zeigen die meisten Videokonferenzanwendungen einen Hinweis an, der den Benutzer darauf hinweist, dass er im stillen Modus spricht. Wie konnte er das sagen, wenn er nicht zuhörte, wenn die Stummschalttaste eingeschaltet war?
So wie Apples Siri oder Amazons Alexa immer auf ein Befehlswort warten, so sind es auch diese "stummgeschalteten" Apps.
Die eigentliche Frage ist, ob diese erfassten Ausdrücke einem erheblichen Risiko ausgesetzt sind, von einem Angreifer oder Insider gesehen zu werden. Zunächst einmal geht alles, was im flüchtigen Speicher gespeichert ist, theoretisch verloren, sobald die Maschine neu gestartet oder ausgeschaltet wird. Daher untersuchen wir die Exposition, nachdem die Äußerung gesprochen wurde und bevor die Maschine neu startet. Je nach Benutzerverhalten kann diese Verzögerung einige Stunden, einige Tage oder sogar mehrere Wochen betragen.
Im Allgemeinen ist das Stehlen von Daten aus flüchtigem Speicher schwierig, aber nicht unmöglich. Wie die Autoren des Berichts in einem Podiumsinterview sagten, müssen sich sowohl der Benutzer als auch das Unternehmen weit mehr Sorgen machen, wenn ein Übeltäter in flüchtige Erinnerungen eindringt, als einige aufgezeichnete Aussagen, wenn sie zum Schweigen gebracht werden. Es könnte jedoch passieren.
Das Stilleproblem basiert ausschließlich auf der Anwendung und der Art und Weise, wie sie mit diesen Daten umgeht.
Einer der Hauptautoren des Berichts ist Kassem Fawaz, Assistenzprofessor am Department of Electrical and Computer Engineering der University of Wisconsin-Madison, das ebenfalls dem Wisconsin Department of Computer Science angegliedert ist.
„Die wichtigsten Auswirkungen beziehen sich auf das inhärente Vertrauen, das Benutzer diesen Videokonferenzanwendungen entgegenbringen“, sagte Fawaz. „Wir haben keine Hinweise auf eine Audioausgabe von Benutzergeräten gefunden. Die einzige Ausnahme waren Telemetriedaten, die von Cisco Webex stammten und seit unserer Offenlegung an Ciscom korrigiert wurden. Aber selbst wenn der Benutzer die Stummschalttaste drückt, hat die App immer noch Zugriff auf den Audiostream und der Benutzer ist zuversichtlich, dass sich die App gut verhält. Die andere Implikation ist, dass die Stummschaltfunktion, ähnlich wie das Ausschalten des Gerätefotos, nicht der App überlassen werden sollte, sondern vom Betriebssystem oder von der Hardware gesteuert werden sollte.
Was Fawaz an der Kamera ausrichtet, ist, dass das Team herausfand, dass ein „Aus“-Knopf an der Kamera tatsächlich verhinderte, dass irgendein Video aufgenommen wurde. Nicht so sehr mit dem Ton. Manchmal kann der Browser einen Unterschied machen.
"In Chrome bedeutet stumm stumm", sagte Fawaz. "Dasselbe können wir nicht über Safari oder Firefox sagen."
Der Bericht der Universität konzentrierte sich hauptsächlich auf das Vertrauen in App-Ersteller. Wenn Anbieter ehrenhaft handeln und Bedenken hinsichtlich Datenschutz, Cybersicherheit und Sicherheitskonformität einhalten, ist das Risiko minimal. Andernfalls könnten Benutzer und Unternehmen in Schwierigkeiten geraten.
Der Bericht zieht keine Rückschlüsse auf das Verhalten von App-Erstellern, sondern stellt lediglich fest, dass jeder in seine eigene Richtung gehen kann.
Allerdings sollten hier die Regeln der Geheimhaltung und sogar die Regeln des netten Menschen gelten. Wenn Sie bestimmte Details nicht besprechen dürfen, sagen Sie sie angesichts des bevorstehenden Übernahmeszenarios nicht vor einem Mikrofon mit Fremden, egal was die Stummschalttaste anzeigt. Um nett zu sein, wie wäre es, wenn Sie keine gemeinen Dinge über Ihre Kollegen oder Kunden sagen?
Die Grundregel für E-Mail und Sicherheit/Compliance lautet: „Bevor Sie eine E-Mail/Nachricht schreiben, stellen Sie sich vor, Sie würden vor Gericht darüber aussagen. Wenn es dir unangenehm ist, schreibe es nicht. Es ist nicht schwer zu verlängern. diese Regel, etwas in ein Mikrofon zu sprechen.
Ich benutze zum Beispiel eine Apple Watch. An einem typischen Tag wirst du mehrmals laut sagen: „Das habe ich nicht verstanden“ oder „Hier ist, was ich zu diesem Thema gefunden habe“. Obwohl es sehr ärgerlich und frustrierend ist, ist es eine wirksame Erinnerung daran, dass ich meine Uhr abnehmen muss, bevor ich etwas sage, von dem ich nicht möchte, dass die Welt es erfährt.
Dasselbe sollten Sie bei der Verwendung eines Mobilgeräts oder eines Desktop-Geräts beachten, insbesondere bei der Verwendung einer Videokonferenz-App.
Copyright © 2022 IDG Communications, Inc.
