在過往的兩年間,相信很多人都增加了接觸視像會議的機會,而早前就有3家美國大學的研究人員一同發表報告,對常見的幾款視像工具中的咪高峰靜音鍵(mute)進行了研究,得出來的多種結果,讓我們應該反思在視像會議時的私隱問題。
研究題材的背後
如果有用過Microsoft Teams都可能曾遇過以下情況,在靜音模式中忘記開閉便開始說話,然後程式「提醒」你咪高峰正被靜音,很明顯,如果靜音功能完全中斷咪高峰的連線,這項方便的功能便無法運作,那麼這項功能又是如何實現?在靜音模式中咪高峰接收到的聲音又會否傳送到方案供應商的伺服器?
研究結果
在私隱的角度,最佳的視像會議應該在web client上,以下所有會議服務都在Chromium open-source引擎為基礎的瀏覽器上進行,而根據開發者的設定,當咪高峰的靜音按鍵啟動,服務應該接收不到任何聲音,與之相比,桌面應用程式便擁有更多權利。
研究人員通過比較咪高峰接收到音效數據和傳送到伺服器的串流資料,分析應用程式如何及何時與咪高峰進行互動,並發現不同程式有不同的行為,以下是最常見的幾個服務。
Zoom
Zoom的客端提供了一個合適行為的典範,在靜音模式中,它不會收集音效,簡單直接,它不會竊聽用戶身邊的聲音,客端會定期要求信式以便確定咪高峰附近的噪音水平,一但靜音結束(用戶開始說話或發出聲音),客端便會像以往一樣提醒用戶關閉靜音模式。
Microsoft Teams
正如上文提到的Microsoft Teams一樣,事情變得有點複雜,程式不使用模準系統界面與咪高峰互動,而是直接與Windows聯繫作為取代,正因為這種情況,研究人員無準調查Teams客端如何在通訊中處理靜音的詳情。
Cisco Webex
Cisco Webex客端展示了最不平常的行為,有別於其他測試方案,它在通訊中持續處理咪高峰的聲音,無論程式中的靜中按鍵是哪種狀態。不過透過調查客端可以取得更多詳情,發現Webex「並沒有」出賣用戶,在靜音模式中,聲音並沒有被傳送到遠端伺服器,但它會傳送metadata,例如訊號的音量大小。不過儘管如此,研究人員他能據這些基本數據推斷用戶那邊正在發生甚麼事情,例如用戶即閉了咪高峰和攝影機,然後啟動了他的吸塵機、正在烹調、他的狗在吠等,甚至是對於在一個公共場所,都能夠透過對比noise sample來推斷對方的情況。
私隱等級
研究報告內含有實用的建議,並且確定了一個事實:用戶無法完全控制自己甚麼數據被收集,報告正面的結果是沒有發現常用的視像工具沒有犯罪行為。不過要注意,電腦上的應用程式不一定有相同結果,所以盡可能應該結由web client連線,即使功能有所限制,但私隱也同時增加,至少知道靜音鍵真的中斷咪高峰和服務之間的連線。
另一個選項就是咪高峰自帶實體靜音鍵,又或者部份高階外置的耳機都會物理地把咪高峰和電腦隔離,而並非透過軟件進行。真正的危險並不是視像工具,而是惡意程式能竊聽受害者,然後把重要對話的音效檔傳送到攻擊者手上,這種情況除了需要能對付那些不想要的程式,忚需要能控制誰人和何時能存取咪高峰。Kaspersky的家用和商用保安方案都能在有軟件嘗試存取咪高峰或攝影機時通知用戶。
資料來源:Kaspersky Blog