El profesor de ingeniería de la Universidad de Wisconsin-Madison, Kassem Favaz, y el estudiante graduado Yucheng Yang realizaron una investigación inicial tras verificar de forma casual cómo en mitad de una videoconferencia y tras silenciar el micrófono, el led indicador de uso del mismo seguía encendido, lo que llamó la atención de los investigadores.

Tras el análisis de varias aplicaciones conocidas, se ha verificado que tras pulsar el botón de silenciar micrófono en mitad de un conversación, si bien el interlocutor deja de escuchar a la parte silenciada, en realidad no se deshabilita el micrófono y este sigue enviando el sonido a los servidores de las apps de conferencia. Esto puede suponer un riesgo para la privacidad de los usuarios.

Las aplicaciones analizadas hasta el momento en el estudio han sido las siguientes:

– Zoom
– Slack
– Microsoft Teams
– Skype
– Google Meet
– Cisco Webex
– BlueJeans
– WhereBy
– GoToMeeteing
– Jitsi Meet
– Discord

Cómo han realizado las pruebas

Los investigadores han rastreado mediante análisis binario en tiempo real el audio transmitido desde las aplicaciones hasta el controlador de audio del sistema operativo usado en cada caso (han analizado las distintas apps en sistemas Android, iOS, Linux, Windows y MacOS) y su salida a la red. Posterioremente, han realizado el mismo proceso estando ya silenciado el micrófono en las distintas aplicaciones.

Han descubierto que todas envían de forma ocasional datos de audio sin procesar cuando la función de silenciar el micrófono está activada, incluso en una en concreto (Cisco Webex) no existe diferencia en el envío de sonido esté o no activada la función de silenciar el micro, contraviniendo así su propia política de privacidad. Informaron de esto al equipo de desarrollo de Webex que está trabajando activamente desde febrero para resolver este problema.

Un problema mayor

En el mismo estudio, han conseguido identificar con un éxito del 82% lo que los usuarios estaban haciendo (escribir, cocinar, comer, oir música, etc.) mediante el análisis de la información binaria enviada por las aplicaciones de videoconferencia incluso estando silenciadas y a pesar de que las mismas transmiten la información cifrada.

No debemos olvidar que estas aplicaciones son usadas por todo tipo de personas, incluyendo altos ejecutivos, líderes políticos o miembros de cuerpos de seguridad, por lo que puede suponer un alto riesgo de seguridad en caso de posibles filtraciones que se pudieran realizar.

El próximo mes de julio será presentada la investigación y todos los resultados en el Simposio de Tecnologías de Mejora de la Privacidad 2022.

Más información:

Fuente: Hispasec