Knappen “MUTE” i konference apps slår ikke mikrofonen fra

En ny undersøgelse viser, at tryk på mute-knappen på populære mange af de kendte videokonference-apps (VCA) stadog transmittere lyd/billed. Der bliver stadig lytter ind på din mikrofon. Mere specifikt forhindrer tryk på lydløs i den undersøgte software nemlig ikke lyd i at blive overført til udbyderens servere, hverken kontinuerligt eller periodisk.

Dette snyderi står der intet om i privatlivspolitikker og under funktioner. Vi som brugere antager dermed fejlagtigt, at lydindgangen skæres fra, når man aktiverer MUTE.

 

Denne misforståelse afspejles i den første fase af undersøgelsen, der drejer sig om at undersøge 223 VCA-brugere om deres forventninger, når de trykker på lydløs.

De fleste (77,5%) respondenter fandt det uacceptabelt, at softwaren fortsat har adgang til mikrofonen og muligvis indsamler data, når lydløs tilstand er aktiv.

Undersøgelsen blev udført af et team af forskere ved University of Wisconsin-Madison og Loyola University i Chicago, der offentliggjorde et papir om deres resultater.

Når lydløs ikke rigtig er dæmpet

Som en del af undersøgelsen udførte forskerne en grundig runtime binær analyse af udvalgte apps for at bestemme, hvilken type data hver app indsamler, og om disse data udgør en privatlivsrisiko.

De apps, der blev testet i denne fase af undersøgelsen, var Zoom, Slack, MS Teams / Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet og Discord.

Her kan du se en oversigt hvor en cirkel indikerer at der er tale om mobil/pad versioner:

 

Teamet sporede rå lyd, der blev transmitteret til lyddriveren til det underliggende operativsystem og til sidst til netværket. På denne måde kunne de bestemme, hvilke ændringer der faktisk opstod, når en bruger trykker på ‘lydløs’.

De fandt ud af, at uanset lydløs status indsamlede alle apps lejlighedsvis lyddata, undtagen på webklienter, der brugte browserens software mute-funktion.

I alle andre tilfælde prøver apps lyd med mellemrum af forskellige funktionelle eller uklare årsager.

Zoom, sandsynligvis den mest populære videokonference-app på verdensplan, viste sig aktivt at spore, om brugeren taler, selv mens de var i lydløs tilstand.

VCA-lyddatastrøm på Windows 10 (wiscprivacy)

 

Det værste tilfælde var ifølge undersøgelsen Cisco Webex, som fortsatte med at modtage rå lyddata fra brugerens mikrofon og overførte dem til leverandørens servere på nøjagtig samme måde, som det gjorde, da de blev slået fra.

“Vores resultater tyder på, at Webex i modsætning til erklæringen i fortrolighedspolitikken overvåger, indsamler, behandler og deler lydafledte data med sine servere, mens brugeren er slået fra,” lyder det tekniske papir, der understøtter undersøgelsen.

“For at informere Cisco om vores undersøgelsesresultater åbnede vi en ansvarlig afsløring med Cisco om vores resultater. Fra februar 2022 arbejder deres Webex-ingeniørteam og privatlivsteam aktivt på at løse dette problem.”

Et større sikkerhedsproblem?

Selvom aspektet af falske forventninger til brugernes privatliv er til side, opstår der flere sikkerhedsproblemer fra denne adfærd.

Selv for de apps, der indsamler begrænsede lyddata, når de er slået fra, fandt forskerne, at det er muligt at bruge disse data til at dechiffrere, hvad brugeren laver 82% af tiden ved hjælp af en simpel maskinlæringsalgoritme.

Det drejer sig om grov aktivitetsklassificering såsom tastaturskrivning, madlavning, spisning, lytte til musik, støvsuger osv.

Klynger til klassificering af lyddata (wiscprivacy)

Selvom leverandørerne sikrer deres servere, krypterer dataoverførsler, og deres medarbejdere overholder strenge anti-misbrugsaftaler, kan et man-in-the-middle-angreb resultere i uventet eksponering for målet.

Husk, VCA’er bruges af højtstående virksomhedsledere, medlemmer af nationale sikkerhedsbestyrelser og landeledende politikere, så datalækager, mens lydløs er aktiv, kan være ret skadelige.

Hvad kan du gøre?

Læs først privatlivspolitikken for bedre at forstå, hvordan dine data administreres, og hvilke risici der er involveret i brugen af et bestemt softwareprodukt.

For det andet, hvis din mikrofon er tilsluttet din computer via et USB- eller jackkabel, kan du lige så godt tage stikket ud, når den er slået fra.

For det tredje kan du bruge dit operativsystems lydkontrolindstillinger til at slå mikrofonens indgangskanal fra, så alle apps modtager lyd uden lydstyrke.

Det er alle besværlige trin for de fleste brugere, men i missionskritiske tilfælde er det værd at sikre ultimativt privatliv den ekstra indsats.

I januar 2022 ændrede Cisco funktionen til ikke længere at sende mikrofontelemetridata.

De andre vil formentligt følge efter med jf. Cisco blev det ikke karakteriseret som en fejl i starten.

 

Scroll til toppen