研究人员发现在线会议APP静音按钮后仍在收集麦克风数据。
受新冠疫情影响,全球对在线视频会议应用的需求暴涨。近日,研究人员对主流在线视频会议应用进行分析,发现按下静音键后可能并没有静音,应用可能仍然在使用用户麦克风。
在线视频会议应用隐私分析
当前在线视频会议应用主要基于iOS、安卓、Windows和Mac操作系统。研究人员对选定APP进行了运行时二进制文件分析以确定每个APP收集了哪一类数据,以及数据是否构成隐私威胁。测试的APP包括Zoom、Slack、微软 Teams/Skype、Google Meet、Cisco Webex、BlueJeans、WhereBy、GoToMeeting、Jitsi Meet和Discord。
测试的APP客户端
研究人员追踪了APP以及底层操作系统驱动在网络上传输的原始数据,以确定用户按下静音按钮后的变化。
Windows 10系统在线视频会议系统数据流
研究人员分析发现无论静音的状态如何,所有的APP都会定时收集音频数据,除了使用浏览器软件静音特征的web客户端。
比如,Zoom在静音状态下也会追踪用户是否在讲话。Cisco Webex在用户按下静音按钮后仍然会从用户的麦克风接收音频数据,并传输给厂商的服务器,这与没有按下静音按钮的数据流是一致的。这与webex的隐私政策描述是不相符的。
研究人员APP收集的数据可以用于进一步分析用户行为。研究人员发现在82%的情况下可以利用一个简单的机器学习算法对用户按下静音按钮后从麦克风收集的用户数据来成功推测用户行为,包括按键盘、做饭、吃、听音乐、打扫卫生等。
收集的用户音频数据分类
即使厂商的服务器是安全的,传输线路也是加密的,其雇员也不会滥用这些数据,但仍然可能有攻击者利用中间人攻击来对用户发起攻击。
Cisco厂商回应
4月15日,Cisco 回应称,Webex会收集麦克风的遥测数据来告知用户其是静音状态。2022年1月,Cisco已经不再传输麦克风的遥测数据了。
隐私建议
首先,阅读隐私策略以确定数据是如何管理的,以及使用此类在线视频会议软件的潜在风险是什么。
第二,如果麦克风是通过USB或其他设备连接到计算机的,那么可以在静音时拔掉麦克风。
第三,使用操作系统的音频控制设置来对麦克风的输入信道静音,这样的话,所有的APP都不会收到音频输入。
相关研究成果发表在2022年CCF C类安全会议PET上,论文下载地址:https://wiscprivacy.com/papers/vca_mute.pdf
(文章来源:嘶吼专业版。参考:https://www.bleepingcomputer.com/news/security/mute-button-in-conferencing-apps-may-not-actually-mute-your-mic/)