Приложения для видеоконференций могут получить доступ к бесшумным микрофонам — Безопасность — Программное обеспечение

Группа исследователей, изучающая поведение приложений для видеоконференций, продемонстрировала, что звук можно записывать, даже если пользователь отключил микрофон.

в бумага В публикации, опубликованной на прошлой неделе, исследователи из Университета Висконсин-Мэдисон и Университета Лойолы в Чикаго задали вопрос: «Вы действительно молчите?»

Ответ: Не всегда, и большинство пользователей этого не понимают.

Проблема наиболее заметна в Cisco Webex при работе в Microsoft Windows.

Исследователи объяснили, что приложения для видеоконференций (VCA), работающие в браузерах, являются наиболее безопасными, поскольку браузер отключает звук микрофона.

Они написали, что «веб-приложениям, реализованным на JavaScript, требуется доступ к микрофону через веб-браузер, который обычно имеет более ограничительные политики сбора данных и больше инструментов, позволяющих пользователю контролировать доступ приложения к устройствам».

С другой стороны, приложения, которые работают в операционной системе, получают доступ к микрофону из операционной системы, и исследователи отмечают, что «операционная система накладывает меньше ограничений на собственные приложения, чем среда выполнения браузера на веб-приложения».

«Нет поддержки со стороны основных операционных систем, о которых мы знаем. [enforcing] Отключите звук программы. «

В Windows, например, пользователь может отключить микрофон через настройки своей панели управления, но это недоступно в виде простого вызова API для сторонних приложений.

«Отсутствие программного отключения звука, опосредованного ОС, означает, что каждое родное приложение должно реализовывать собственную внутреннюю функцию отключения звука», — пишут исследователи.

Это означает, что разработчики могут принять отключение звука, не передавая звук от пользователя на собрание, но по-прежнему имея возможность улавливать звук с микрофона, Cisco Webex предоставил наиболее яркие примеры этого.

«Самое интересное, что мы отмечаем, что Cisco Webex — в отличие от остальных исходных Windows VCA — постоянно обращается к микрофону, когда звук отключен», — говорится в документе.

«С помощью x64dbg мы смогли отследить аудиобуфер, скопированный из Webex, до тех пор, пока этот буфер не попал в стек. Мы обнаружили, что, хотя звук в приложении был отключен, аудиобуфер в Webex содержал необработанный звук с микрофона».

Как сказал Джек Уэст из Университета Лойолы, один из исследователей iTnewsДля этого могут быть веские причины.

Захват необработанного звука может помочь, например, «сохранить плавные переходы от приглушения к включению звука».

В случае с Webex: «Необработанный звук, вероятно, был проверен на предмет удаления шума, чтобы сохранить согласованность и во время перехода».

Cisco также получала голосовые телеметрические данные пользователей от Webex.

«После того как мы довели эту проблему до сведения Cisco, они прекратили отправку данных голосовой телеметрии, — сказал Уэст. iTnews.

Пользователи не в курсе

Еще одна проблема, отмеченная в документе, заключается в том, что пользователи обычно не понимают, что их VCA могут слушать их, когда микрофон отключен.

Опросив 223 человека, исследователи обнаружили, что большинство приложений должны иметь доступ к микрофону только тогда, когда приложение запущено и звук пользователя не отключен, и большинство считает, что именно это и происходит на самом деле.

«В заключение, результаты исследования пользователей показывают, что понимание пользователем кнопки отключения звука не соответствует их ожиданиям в отношении ее поведения», — говорится в документе.

Уэст сказал iTnews Исследовательская группа считает, что «Microsoft должна предоставить способ сообщить пользователю о доступе к его звуковому буферу».

«Итак, пользователь, по крайней мере, знает, что может слышать приложение», — сказал Уэст.

«В настоящее время Microsoft предлагает функцию, с помощью которой пользователь может быстро отключить свой микрофон», — добавил он.

В полную исследовательскую группу входили Уэст, Джордж Тируватокал и Нил Клингенсмит из Университета Лойолы, а также Юченг Ян и Касим Фаваз из Университета Висконсин-Мэдисон.

Их исследования будут представлены в 22-й симпозиум по методам улучшения конфиденциальности В июле в Сиднее.

iTnews Microsoft попросила прокомментировать исследование.