מזונות חשובים
- דו"ח אחרון של חברת אבטחת הסייבר McAfee מגלה שניתן לפרוץ תוכנה לשיחות וידאו כדי לרגל אחרי משתמשים.
- אפליקציות היכרויות כגון eHarmony ו-Plenty of Fish היו בין אלה שזוהו כפגיעות לפריצה.
- מספר האנשים המשתמשים בפלטפורמות ועידת וידאו גדל באופן דרמטי, כאשר אנשים רבים נאלצו לעבוד מהבית במהלך מגיפת הקורונה.
ייתכן ששיחות הווידאו שלך לא יהיו מאובטחות כמו שאתה חושב, על פי מחקר חדש.
חברת אבטחת הסייבר McAfee פרסמה דוח שחשף פגיעות חדשה בערכת פיתוח תוכנה לשיחות וידאו (SDK). האקרים יכולים לנצל את הפגיעות הזו כדי לרגל אחר שיחות וידאו ואודיו חיות של משתמשים. אפליקציות היכרויות כגון eHarmony ו-Plenty of Fish היו בין אלו שזוהו כמשתמשות בפלטפורמת SDK הפגיעה.
"בין אם אתה משתתף בפגישות עבודה וירטואליות רגילות או מתעדכן במשפחה המורחבת ברחבי העולם, כצרכן, חשוב להבין למה בדיוק אתה נכנס כשאתה מוריד אפליקציות שעוזרות לך להישאר מחובר," סטיב פובולני, ראש מחקר האיומים המתקדם של McAfee אמר בראיון באימייל.
"ככל שהאימוץ המהיר והרחב של כלים ואפליקציות לשיחות ועידה בווידאו מתרחש, איומים פוטנציאליים על הבטיחות המקוונת יופיעו בהכרח."
איומים רבים על שיחות וידאו
ה-SDK, המסופק על ידי חברת התוכנה Agora.io, יכול לשמש יישומים לתקשורת קולית ווידאו על פני פלטפורמות רבות, כגון נייד ואינטרנט. לא ידוע כמה אפליקציות אחרות היו יכולות להיות מושפעות, אמר פובולני.
מאז ש-McAfee גילתה את בעיית האבטחה הזו, Agora עדכנה את ה-SDK שלה כדי לספק הצפנה. אבל מומחים אומרים שסוגים רבים של תקשורת וידאו נשארים חשופים לפריצה.
כל דבר שמחובר לאינטרנט יכול להיפרץ, ציין ג'וזף קרסון, מדען אבטחה ראשי בחברת אבטחת הסייבר Thycotic, בראיון באימייל.
"כל מכשיר שמכיל מצלמות יכול להיות מנוצל לחלוטין כדי להקליט וידאו, לנתח נתונים אלה ולבצע זיהוי קולי או פנים", הוסיף.
"במקרים רבים, הספקים שמייצרים אותם אינם מספקים את היכולת לכבות אותם, מה שאומר שהם מתמקדים אך ורק בנוחות השימוש וכמעט תמיד מקריבים אבטחה כתוצאה מכך."
מספר האנשים המשתמשים בפלטפורמות ועידת וידאו גדל באופן דרמטי, כאשר אנשים רבים נאלצו לעבוד מהבית במהלך מגיפת הקורונה, אמר האנק שלס, מנהל בכיר של פתרונות אבטחה בחברת אבטחת הסייבר Lookout, בראיון באימייל.
"שחקנים זדוניים יודעים שיש הרבה משתמשים חדשים שלא מכירים את האפליקציות שהם יכולים לנצל", הוסיף. "בסוג זה של מסעות פרסום, הם משתמשים לעתים קרובות גם בכתובות אתרים זדוניות וגם בקבצים מצורפים להודעות מזויפות כדי להביא יעדים לדפי פישינג."
התקפות פנימיות הן האיום הגדול ביותר
שיחות וידאו הן הפגיעות ביותר כאשר השיחה מוקלטת ומאוחסנת בשרת של צד שלישי או בשרת של ספק האפליקציות, אמר האנג דין, פרופסור למדעי המחשב והמידע באוניברסיטת אינדיאנה סאות' בנד, באימייל. ראיון.
לדוגמה, שיחות וידאו ב-Facebook Messenger מאוחסנות בשרתים של פייסבוק וניתן לצפות בהן על ידי עובדי פייסבוק.
"אם אחד העובדים שלהם לא נזהר באבטחה, השיחות שלך עלולות להיפרץ", הוסיף דין. "זכור שגם טוויטר נפרץ בגלל אשמתו של מבפנים."
כדי להפוך את התקשורת שלהם לאבטחה יותר, על המשתמשים לבחור בשיחות וידאו מוצפנות מקצה לקצה כגון WhatsApp, Google Duo, FaceTime ו-ExtentWorld, אמר דין.
"היותן מוצפן מקצה לקצה פירושו שהשיחות אינן מאוחסנות ומפוענחות בשרת צד שלישי כלשהו, כולל שרתי ספק השיחות", הוסיפה.
תוכנת ועידות וידאו פופולרית זום גם החלה להציע לאחרונה שיחות וידאו מוצפנות מקצה לקצה. ובכל זאת, תכונת ההצפנה בזום אינה מופעלת כברירת מחדל, ציין דין.
עבור רוב האנשים, הסיכון המשמעותי ביותר לפריצת וידאו הוא האזנת סתר, אמר כריס מוראלס, ראש מחלקת ניתוחי אבטחה בחברת אבטחת הסייבר Vectra AI, בראיון באימייל.
"הסיכון הנוסף הוא שיבוש של סשן עם תמונות וצלילים משותפים", אמר. "תחשוב על זה כמו גרפיטי דיגיטלי."
כדי להרחיק האקרים, למשתמשים צריכים להיות סיסמאות לכל ועידות הווידאו, אמר מוראלס.
אין לפרסם את הסיסמה הזו בפומבי ויש לשתף אותה באופן פרטי. המנחה יכול גם, כברירת מחדל, להפעיל השתקה בכל המשתתפים ולהשבית את תכונות שיתוף המסך. "כמה חזקה הסיסמה הזו עדיין תשפיע על היכולת של מישהו לגשת להפעלה הנוכחית", הוסיף. "אבל זה הרבה יותר טוב מאשר בלי סיסמה בכלל."
