پژوهشگران هشدار دادهاند که حتی با خاموشبودن دوربین و استفاده از پسزمینه مجازی، مهاجمان میتوانند از راه کانالهای صوتی برنامههایی مانند زوم (Zoom ) و مایکروسافت تیمز (Microsoft Teams)، موقعیت فیزیکی کاربران را شناسایی کنند.
به گزارش هیچ یک ، وبگاه تِکاِکسپلور در گزارشی آورده است:
پس از همهگیری کووید ۱۹، پلتفرمهای (سکوهای) ویدیوکنفرانس به ابزاری ضروری برای کار، آموزش و ارتباطات اجتماعی تبدیل شدند. با این حال، مطالعه جدید دانشمندان رایانه دانشگاه متودیست جنوبی (SMU) نشان میدهد این پلتفرمها ممکن است آنگونه که کاربران تصور میکنند امن نباشند.
سازوکار حمله: حسگری صوتی از راه دور
مهاجمان با بهرهبرداری از کانالهای صوتی دوطرفه برنامههای ویدیوکنفرانس میتوانند:
- از طریق حسگری صوتی از راه دور محیط فیزیکی کاربر را بررسی کنند؛
- با تزریق صداهای مخرب و تحلیل پژواکهای خاص هر مکان، موقعیت کاربر را شناسایی کنند؛
- حتی با خاموشبودن دوربین و استفاده از پسزمینه مجازی به اطلاعات مکانی دست یابند.
یافتههای نگرانکننده این پژوهش
- مهاجمان میتوانند موقعیت مکانی کاربران را با دقت ۸۸ درصد تشخیص دهند؛
- این سیستم حتی وقتی کاربر برای اولینبار در یک محل خاص باشد، باز هم میتواند آنجا را شناسایی کند؛
- فقط ۰.۱ ثانیه (یکدهم ثانیه) برای جمعآوری اطلاعات از مکان کاربر کافی است.
این اعداد در عمل چه معنایی دارند؟
اگر در منزل، محل کار یا هتل از زوم یا تیمز استفاده کنید، دیگران ممکن است بفهمند شما کجا هستید؛ این اتفاق حتی با خاموش بودن دوربین و فعال بودن پسزمینه مجازی رخ میدهد و حمله به اندازهای سریع است که قبل از اینکه متوجه شوید، تمام میشود.
هشدار محققان
پروفسور چن وانگ (Chen Wang)، پژوهشگر ارشد این مطالعه هشدار میدهد:
هر یک از شرکتکنندگان در ویدیوکنفرانس میتوانند بهراحتی حریم خصوصی مکانی دیگران را نقض کند. حتی کاربران محتاط که فقط هنگام صحبت، میکروفون را فعال میکنند نیز آسیبپذیر هستند. صحبت کاربران به طور مؤثری، سیگنال مخرب را تقویت میکند.
دو روش مخفی برای نفوذ
۱. حمله با صداهای ساختگی: مهاجم صداهای مهندسیشده مخصوصی را در حین تماس پخش میکند. این صداها طوری طراحی شدهاند که سیستم لغو پژواک برنامه را دور میزنند. سپس مهاجم با تحلیل پژواک این صداها در محیط شما، محلتان را شناسایی میکند.
۲. حمله با صداهای روزمره: مهاجم از صداهای عادی محیط شما مثلاً وقتی اعلان ایمیل (رایانامه) یا زنگ تلفن شما به صدا درمیآید، سوءاستفاده میکند. این صداهای طبیعی هم میتوانند اطلاعات مکانی شما را فاش کنند.
راهحلهای در دست توسعه
وانگ و گروهش در حال توسعه راهکارهای زیر هستند:
- الگوریتمهای دفاعی برای شناسایی و حذف صداهای مشکوک؛
- استقرار این سیستم در سِرورهای کنفرانس ویدیویی؛
- روشهای مقابله با توانایی مهاجمان برای شناسایی موقعیت مکانی کاربران.
این یافتهها بر اساس آزمایشهای ششماهه در ۱۲ مکان مختلف شامل خانهها، دفاتر کار، خودروها و هتلها بهدست آمده است.
