Da asporto chiave
- Un recente rapporto della società di sicurezza informatica McAfee rileva che il software di videochiamata potrebbe essere violato per spiare gli utenti.
- App di incontri come eHarmony e Plenty of Fish sono state tra quelle identificate come vulnerabili all'hacking.
- Il numero di persone che utilizzano piattaforme di videoconferenza è aumentato notevolmente, con molte persone costrette a lavorare da casa durante la pandemia di coronavirus.
Le tue videochiamate potrebbero non essere sicure come pensi, secondo una nuova ricerca.
La società di sicurezza informatica McAfee ha pubblicato un rapporto che svela una nuova vulnerabilità in un kit di sviluppo software (SDK) per videochiamate. Gli hacker potrebbero sfruttare questa vulnerabilità per spiare le chiamate audio e video in diretta degli utenti. App di incontri come eHarmony e Plenty of Fish sono state tra quelle identificate come utilizzanti la piattaforma SDK vulnerabile.
"Sia che tu stia partecipando a regolari riunioni di lavoro virtuali o incontrando la famiglia allargata in tutto il mondo, come consumatore, è importante capire in cosa ti stai cacciando esattamente quando scarichi applicazioni che ti aiutano a rimanere in contatto, " Steve Povolny, capo di McAfee Advanced Threat Research, ha dichiarato in un'intervista via e-mail.
"Con la rapida e ampia adozione di strumenti e app di videoconferenza, emergeranno inevitabilmente potenziali minacce alla sicurezza online."
Molte minacce alle chat video
L'SDK, fornito dalla società di software Agora.io, può essere utilizzato da applicazioni per la comunicazione vocale e video su molte piattaforme, come mobile e web. Non si sa quante altre app potrebbero essere state interessate, ha detto Povolny.
Da quando McAfee ha scoperto questo problema di sicurezza, Agora ha aggiornato il suo SDK per fornire la crittografia. Ma gli esperti affermano che molti tipi di comunicazioni video restano vulnerabili all'hacking.
Tutto ciò che è connesso a Internet può essere violato, ha sottolineato Joseph Carson, scienziato capo della sicurezza presso l'azienda di sicurezza informatica Thycotic, in un'intervista via e-mail.
"Tutti i dispositivi che contengono telecamere possono essere assolutamente abusati per registrare video, analizzare quei dati ed eseguire il riconoscimento vocale o facciale", ha aggiunto.
"In molti incidenti, i fornitori che li producono non offrono la possibilità di disattivarli, il che significa che si concentrano esclusivamente sulla facilità d'uso e di conseguenza sacrificano quasi sempre la sicurezza."
Il numero di persone che utilizzano piattaforme di videoconferenza è aumentato notevolmente, con molte persone costrette a lavorare da casa durante la pandemia di coronavirus, ha affermato Hank Schless, senior manager delle soluzioni di sicurezza presso la società di sicurezza informatica Lookout, in un'intervista via e-mail.
"Gli attori maliziosi sanno che ci sono molti nuovi utenti che non hanno familiarità con le app che possono sfruttare", ha aggiunto. "In questo tipo di campagna, spesso utilizzano sia URL dannosi che allegati di messaggi falsi per portare obiettivi a pagine di phishing."
Gli attacchi interni sono la minaccia più grande
Le videochiamate sono più vulnerabili quando la chiamata viene registrata e archiviata su un server di terze parti o sul server del provider dell'app, ha affermato in un'e-mail Hang Dinh, professore di informatica e scienze dell'informazione presso l'Indiana University South Bend intervista.
Ad esempio, le videochiamate su Facebook Messenger sono archiviate sui server di Facebook e possono essere visualizzate dai dipendenti di Facebook.
"Se uno dei suoi dipendenti non è attento alla sicurezza, le tue chiamate possono essere violate", ha aggiunto Dinh. "Ricorda che Twitter è stato violato anche per colpa di un insider."
Per rendere le loro comunicazioni più sicure, gli utenti dovrebbero scegliere videochiamate crittografate end-to-end come WhatsApp, Google Duo, FaceTime ed ExtentWorld, ha affermato Dinh.
"Essere crittografati end-to-end significa che le chiamate non vengono archiviate e decrittografate su server di terze parti, inclusi i server del provider di chiamate", ha aggiunto.
Il popolare software per videoconferenze Zoom ha recentemente iniziato a offrire videochiamate crittografate end-to-end. Tuttavia, la funzione di crittografia su Zoom non è attivata per impostazione predefinita, ha osservato Dinh.
Per la maggior parte delle persone, il rischio più significativo per l'hacking video è l'intercettazione, ha affermato Chris Morales, responsabile dell'analisi della sicurezza presso la società di sicurezza informatica Vectra AI, in un'intervista via e-mail.
"L' altro rischio è l'interruzione di una sessione con immagini e suoni condivisi", ha detto. "Pensalo come un graffito digitale."
Per tenere fuori gli hacker, gli utenti dovrebbero avere le password per tutte le videoconferenze, ha detto Morales.
Quella password non dovrebbe essere pubblicata pubblicamente e dovrebbe essere condivisa privatamente. Il moderatore può anche, per impostazione predefinita, abilitare l'audio su tutti i partecipanti e disabilitare le funzioni di condivisione dello schermo. "La forza della password avrà comunque un impatto sulla capacità di qualcuno di accedere a una sessione corrente", ha aggiunto. "Ma è molto meglio di nessuna password."