Bài học rút ra chính
- Một báo cáo gần đây của công ty an ninh mạng McAfee cho thấy phần mềm gọi điện video có thể bị tấn công để theo dõi người dùng.
- Các ứng dụng hẹn hò như eHarmony và Plenty of Fish nằm trong số những ứng dụng được xác định là dễ bị hack.
- Số lượng người sử dụng các nền tảng hội nghị truyền hình đã tăng lên đáng kể, với nhiều người buộc phải làm việc tại nhà trong đại dịch coronavirus.
Cuộc gọi điện video của bạn có thể không an toàn như bạn nghĩ, theo nghiên cứu mới.
Công ty bảo mật mạng McAfee đã phát hành một báo cáo phát hiện một lỗ hổng mới trong bộ phát triển phần mềm gọi điện video (SDK). Tin tặc có thể khai thác lỗ hổng này để theo dõi các cuộc gọi thoại và video trực tiếp của người dùng. Các ứng dụng hẹn hò như eHarmony và Plenty of Fish nằm trong số những ứng dụng được xác định là sử dụng nền tảng SDK dễ bị tấn công.
"Cho dù bạn đang tham dự các cuộc họp công việc ảo thông thường hay bắt kịp với đại gia đình trên toàn cầu, với tư cách là một người tiêu dùng, điều quan trọng là phải nhận ra chính xác những gì bạn đang làm khi tải xuống các ứng dụng giúp bạn duy trì kết nối", Steve Povolny, người đứng đầu của McAfee Advanced Threat Research cho biết trong một cuộc phỏng vấn qua email.
"Khi việc áp dụng nhanh chóng và rộng rãi các công cụ và ứng dụng hội nghị truyền hình xảy ra, các mối đe dọa tiềm ẩn đối với an toàn trực tuyến chắc chắn sẽ xuất hiện."
Nhiều Đe doạ đối với Trò chuyện Video
SDK, do hãng phần mềm Agora.io cung cấp, có thể được sử dụng bởi các ứng dụng để giao tiếp thoại và video trên nhiều nền tảng, chẳng hạn như di động và web. Povolny cho biết không biết có bao nhiêu ứng dụng khác có thể bị ảnh hưởng.
Kể từ khi McAfee phát hiện ra vấn đề bảo mật này, Agora đã cập nhật SDK của mình để cung cấp mã hóa. Nhưng các chuyên gia nói rằng nhiều loại hình truyền thông video vẫn dễ bị tấn công.
Bất cứ thứ gì được kết nối với internet đều có thể bị tấn công, Joseph Carson, giám đốc khoa học bảo mật tại công ty an ninh mạng Thycotic, đã chỉ ra trong một cuộc phỏng vấn qua email.
"Bất kỳ thiết bị nào có camera hoàn toàn có thể bị lạm dụng để quay video, phân tích dữ liệu đó và thực hiện nhận dạng giọng nói hoặc khuôn mặt", anh ấy nói thêm.
"Trong nhiều sự cố, các nhà cung cấp sản xuất chúng không cung cấp khả năng tắt chúng, có nghĩa là họ hoàn toàn tập trung vào tính dễ sử dụng và kết quả là hầu như luôn hy sinh tính bảo mật".
Số lượng người sử dụng các nền tảng hội nghị truyền hình đã tăng lên đáng kể, với nhiều người bị buộc phải làm việc tại nhà trong đại dịch coronavirus, Hank Schless, giám đốc cấp cao của các giải pháp bảo mật tại công ty an ninh mạng Lookout, cho biết trong một cuộc phỏng vấn qua email.
"Các tác nhân độc hại biết rằng có nhiều người dùng mới không quen với các ứng dụng mà họ có thể khai thác", ông nói thêm. "Trong loại chiến dịch này, họ thường sử dụng cả URL độc hại và tệp đính kèm tin nhắn giả mạo để đưa mục tiêu đến các trang lừa đảo."
Tấn công nội gián là Mối đe dọa lớn nhất
Gọi điện video dễ bị tấn công nhất khi cuộc gọi được ghi lại và lưu trữ trên máy chủ của bên thứ ba hoặc trên máy chủ của nhà cung cấp ứng dụng, Hang Dinh, giáo sư máy tính và khoa học thông tin tại Đại học Indiana South Bend, cho biết trong một email phỏng vấn.
Ví dụ: các cuộc gọi điện video trên Facebook Messenger được lưu trữ trên máy chủ của Facebook và nhân viên của Facebook có thể xem được.
"Nếu một nhân viên của họ không cẩn thận trong việc bảo mật, các cuộc gọi của bạn có thể bị hack", Dinh nói thêm. "Hãy nhớ rằng Twitter cũng bị tấn công do lỗi của người trong cuộc."
Để liên lạc của họ an toàn hơn, người dùng nên chọn các cuộc gọi video được mã hóa đầu cuối như WhatsApp, Google Duo, FaceTime và ExtentWorld, Dinh nói.
"Được mã hóa đầu cuối có nghĩa là các cuộc gọi không được lưu trữ và giải mã trên bất kỳ máy chủ nào của bên thứ ba, bao gồm cả máy chủ của nhà cung cấp cuộc gọi", cô nói thêm.
Phần mềm hội nghị truyền hình phổ biến Zoom gần đây cũng đã bắt đầu cung cấp các cuộc gọi video được mã hóa đầu cuối. Tuy nhiên, tính năng mã hóa trên Zoom không được bật theo mặc định, Dinh lưu ý.
Đối với hầu hết mọi người, rủi ro đáng kể nhất đối với việc hack video là nghe trộm, Chris Morales, trưởng bộ phận phân tích bảo mật tại công ty an ninh mạng Vectra AI, cho biết trong một cuộc phỏng vấn qua email.
"Rủi ro khác là sự gián đoạn của một phiên với hình ảnh và âm thanh được chia sẻ," ông nói. "Hãy coi nó giống như hình vẽ graffiti kỹ thuật số."
Để ngăn chặn tin tặc, người dùng nên có mật khẩu cho tất cả các hội nghị truyền hình, Morales nói.
Mật khẩu đó không nên được đăng công khai và nên được chia sẻ một cách riêng tư. Theo mặc định, người kiểm duyệt cũng có thể bật tắt tiếng trên tất cả những người tham gia và tắt tính năng chia sẻ màn hình. "Mật khẩu đó mạnh đến mức nào vẫn sẽ ảnh hưởng đến khả năng ai đó truy cập vào phiên hiện tại", ông nói thêm. "Nhưng tốt hơn là không có mật khẩu."
