Mikrofonen på PC-en og andre elektroniske enheter er en av mange potensielle kilder til personvern-utfordringer. Ferske funn kan tyde på at utfordringene er større enn mange antar, rapporterer blant andre The Next Web.
Hva skjer med mikrofondataene når en bruker klikker på mute-knappen?
Det var spørsmålet forskere ved University of Wisconsin-Madison i USA tok utgangspunkt i da de ville undersøke personvernet til møtedeltagere fra hjemmekontor.
Konklusjonen: De fleste løsningene for videokonferanser samler lyddata også når brukeren har satt mikrofonen på mute. Verstingen sender kontinuerlig lydfiler til egne servere, mens de fleste appene sporadisk sjekker om det er lyd som kan indikere at du snakker selv om mute-knappen er slått på.
I Microsofts produkter Teams og Skype viste det seg å være umulig for forskerne å følge lyddataene gjennom systemet.
Populære apper
Teamet brukte ulike analyseverktøy til å spore rå audiodata fra appen til datamaskinens lyddriver og så til nettverket mens appens lyd var dempet. Det de fant ut, var at alle appene noen ganger samler inn rå audiodata, selv med dempingen aktivert.
Appene som ble undersøkt, omfattet blant annet bedriftsutgaven av Zoom, Slack, Microsoft Teams/Skype, Google Meet og Cisco Webex.
Sistnevnte var den mest problematiske, ifølge forskerne. Ciscos populære samtaleapp Webex samler inn og videresender audiodata til serveren mens lyden er dempet på akkurat samme måte som når lyden ikke er dempet.
– Vi oppdaget at Webex kontinuerlig leser audiodata fra mikrofonen og overfører statistikk fra dataene én gang per minutt til telemetriserveren, skriver forskerne i forskningsartikkelen.
De tok kontakt med Cisco i forbindelse med funnene, og selskapet svarte at de skulle etterforske saken. I en kommentar til The Register sier Cisco at de nå har foretatt endringer i Webex som skal hindre overføring av telemetriske data fra mikrofonen.
Microsoft var umulig å undersøke
Microsofts egne møteløsninger, Teams og Skype, bruker ikke standard Windows API-er, men kaller operativsystemet direkte. Dette grensesnittet er udokumentert, og forskerne klarte rett og slett ikke å finne ut hvordan Teams og Skype bruker mikrofondataene dine når du har satt på mute.
Stor forskjell på app og nettleser
Bruker du møteløsningen direkte i nettleseren, har du to måter å mute mikrofonen på: i innstillingene til nettleseren eller direkte i møteløsningen. Men også møteløsningen er underlagt kontrollene i nettleseren og kommer ikke forbi det Java-script-baserte API-et, WebRTC, som kontrollerer appenes tilgang til operativsystemet for å bruke kamera og mikrofon.
Siden nettleseren kontrollerer alt som foregår over WebRTC, kan du være ganske sikker på at en mutet mikrofon faktisk betyr at verken Teams, Zoom eller Slack hører hva du ser på på TV under avdelingsmøtet.
Men når det gjelder apper installert på PC-en din, kobles appene direkte på operativsystemet.
Ingen av de store operativsystemene har implementert mute-funksjonalitet på programvare-nivå. Det betyr at hver enkelt app selv må sørge for mute-funksjonalitet. Operativsystemet gjør ingenting for å hindre at appen henter data fra mikrofonen, selv om appens interne mute-funksjon er slått på.
Forventer at mute betyr avslått
Det opplyses i forskningsdokumentet at selv om appene har adgang til å lese mikrofondata med mikrofonen dempet, er ikke dette noe appene i utgangspunktet gjør, med unntak av Webex. I stedet benyttes tilgangen hovedsakelig til å sjekke mikrofonstatusen.
Likevel representerer funnene et personvernproblem, ifølge forskerne, fordi måten «mute»-knappen fungerer på, ikke samsvarer med hvordan brukerne oppfatter knappens funksjonalitet.
Som et ledd i forskningsarbeidet gjennomførte teamet en brukerstudie med 223 deltakere, hvor et stort flertall på 70 prosent trodde at «mute»-knappen blokkerer overføring av alle mikrofondata – noe som altså ikke er tilfelle.
I tillegg kan telemetri-dataene også brukes til ondsinnede formål. Forskerne ønsket å finne ut hvorvidt rådataene kan brukes til å avdekke hvilke aktiviteter som foregikk i bakgrunnen mens mikrofonen var dempet. Dette klarte de, riktignok ved hjelp av en spesialutviklet maskinlæringsalgoritme, med en presisjon på 82 prosent.
Slike analyser kan ifølge forskerne brukes til «fingerprinting»-formål – altså profilering av brukere basert på ulike typer innhenting av informasjon om brukerne.
Flere detaljer om funnene og metodologien kan du finne i forskningsartikkelen.
– Hackere sprer skadevare gjennom Teams