聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国威斯康辛大学曼迪逊分校和芝加哥洛约拉大学的研究人员发现,面向企业的思科 Webex 视频会议和通讯工具无时无刻地在监听麦克风。
研究人员指出,包括用于企业环境中的热门视频会议应用 (VCAs) 即使在用户调成静音的模式,仍然能够主动查询麦克风。
研究人员发现,在参会成员静音的情况下,某些应用程序不仅持续监控麦克风输入,而且传输到服务器的遥测数据也可用于准确地识别出用户的背景活动类型。
问题在于,静音麦克风的隐私控制机制依赖于应用程序,且不存在与其存在关联的硬件指标可通知用户关于麦克风的用途(摄像头在操作系统级别受控,而且也存在展示何时使用的指标)。
为了演示与会人员在禁用麦克风时的隐私错觉,研究人员实现了一个概念验证背景活动分类器,基于在静音用户时VCAs 发送的遥测数据包,使其能够准确地识别出六种类型的常见背景活动。
研究人员查看了 BlueJeans、思科 Webex、Discord、Google Meet、GoToMeeting、Jitsi Meet、Microsoft Teams/Skype、Slack、WhereBy 和 Zoom(企业版)与麦克风的交互方式,发现所有这些应用都可以在用户静音的情况下主动查询麦克风。
研究指出,原生 app 在主流操作系统上的实现与在不受支持平台上的web app的表现各不相同,后者要求通过 web 浏览器访问麦克风。研究人员解释称,多数Windows 和 macOS 原生 VCAs “即使在用户静音的情况下,也可查看用户是否在讲话,但继续采样音频的方式和在不静音的情况下不同。”然而,对于基于 web 的应用而言,使用了浏览器的软件静音特性,会指令“麦克风驱动完全切断麦克风数据。”
不过,研究人员无法识别在用户执行静音操作情况下,微软 Teams 和 Skype 应用使用麦克风数据的方式,因为“它们直接和操作系统通话”,而不是使用标准的 Windows 用户态 API。
研究人员表示,“有意思的是,在 Windows 和 macOS 中,我们发现不管‘静音’按钮的现状如何,思科Webex 都会查询麦克风。我们发现当 app 被静音时,Webex 的音频缓冲区包含来自麦克风的原始音频。”
研究人员还发现,Webex 是唯一一个“在用户被静音情况下继续采样麦克风”的项目,它会每隔一分钟将音频衍生的遥测数据发送给服务器。它们“在明文数据传递给 Windows 网络套接字 API 之前,立即拦截明文数据”并用它来辨别背景用户活动。
研究人员总结称,“我们的用户研究表明,用户未意识到Webex 在自己执行静音操作时仍然监听麦克风。我们审计了所有使用广泛的 VCAs 和桌面操作系统,发现了Webex 内的潜在隐私泄露问题。我们发现,虽然执行了静音操作,但Webex 继续读取麦克风的音频数据,并每隔一分钟就把数据传给遥测服务器。”
思科回应称所收集数据仅限于音频设置。
思科表示,“2022年1月,研究人员发现,Webex 会议期间用户执行静音操作后,检测并收集到音频设置数据如音量和音量调整(而非真正的声音或音效)数据。该数据的目的是提升用户体验(如静音通知、背景噪音消除、音量优化)和排疑解难。”
思科还提到,“2022年1月,Webex 停止在用户静音情况下收集与技术排难相关的音频设置数据行为;Webex 客户可联系思科禁用在用户静音情况下,对音频设置的其余检测情况,这些检测对于我们所提供的特性而言是必须的,如静音通知和回声消除。感谢客户、研究人员和其它利益相关者助力我们提升产品。”
https://www.securityweek.com/webex-monitors-microphone-even-when-muted-researchers-say
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):即使静音,Webex仍在监控麦克风
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论