ซื้อกลับบ้านที่สำคัญ
- รายงานล่าสุดโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ McAfee พบว่าซอฟต์แวร์การโทรผ่านวิดีโออาจถูกแฮ็กเพื่อสอดแนมผู้ใช้
- แอพหาคู่ เช่น eHarmony และ Plenty of Fish เป็นหนึ่งในแอปที่ระบุว่าเสี่ยงต่อการถูกแฮ็ก
- จำนวนผู้ใช้แพลตฟอร์มการประชุมทางวิดีโอเพิ่มขึ้นอย่างมาก โดยมีคนจำนวนมากถูกบังคับให้ทำงานจากที่บ้านในช่วงการระบาดของโคโรนาไวรัส
แฮงเอาท์วิดีโอของคุณอาจไม่ปลอดภัยเท่าที่คุณคิด ตามการวิจัยใหม่
บริษัทรักษาความปลอดภัยทางไซเบอร์ McAfee ได้ออกรายงานที่เปิดเผยช่องโหว่ใหม่ในชุดพัฒนาซอฟต์แวร์วิดีโอคอล (SDK) แฮกเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อสอดแนมการสนทนาทางวิดีโอและเสียงสดของผู้ใช้ แอปหาคู่ เช่น eHarmony และ Plenty of Fish เป็นหนึ่งในแอปที่ระบุว่าใช้แพลตฟอร์ม SDK ที่มีช่องโหว่
"ไม่ว่าคุณจะเข้าร่วมการประชุมเสมือนจริงเป็นประจำหรือพบปะครอบครัวขยายทั่วโลก ในฐานะผู้บริโภค สิ่งสำคัญคือต้องตระหนักว่าคุณกำลังทำอะไรอยู่เมื่อดาวน์โหลดแอปพลิเคชันที่ช่วยให้คุณไม่พลาดการติดต่อ " สตีฟ Povolny หัวหน้าฝ่ายวิจัยภัยคุกคามขั้นสูงของ McAfee กล่าวในการสัมภาษณ์ทางอีเมล
"ในขณะที่การนำเครื่องมือและแอปการประชุมทางวิดีโอไปใช้ในวงกว้างอย่างรวดเร็ว ภัยคุกคามที่อาจเกิดขึ้นต่อความปลอดภัยออนไลน์ก็ย่อมเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้"
ภัยคุกคามต่อวิดีโอแชทมากมาย
SDK ที่จัดทำโดยบริษัทซอฟต์แวร์ Agora.io สามารถใช้ได้กับแอปพลิเคชันสำหรับการสื่อสารด้วยเสียงและวิดีโอในหลากหลายแพลตฟอร์ม เช่น มือถือและเว็บ Povolny กล่าว ไม่ทราบว่าแอปอื่นๆ จะได้รับผลกระทบกี่แอป
เนื่องจาก McAfee พบปัญหาด้านความปลอดภัยนี้ Agora ได้อัปเดต SDK เพื่อให้เข้ารหัส แต่ผู้เชี่ยวชาญกล่าวว่าการสื่อสารผ่านวิดีโอหลายประเภทยังคงเสี่ยงต่อการถูกแฮ็ก
อะไรก็ตามที่เชื่อมต่อกับอินเทอร์เน็ตสามารถถูกแฮ็กได้ โจเซฟ คาร์สัน หัวหน้านักวิทยาศาสตร์ด้านความปลอดภัยของบริษัท Thycotic กล่าวในการสัมภาษณ์ทางอีเมล
"อุปกรณ์ใดๆ ที่มีกล้องอาจถูกนำไปใช้ในทางที่ผิดในการบันทึกวิดีโอ วิเคราะห์ข้อมูลนั้น และทำการจดจำเสียงหรือใบหน้าได้" เขากล่าวเสริม
"ในหลายๆ กรณี ผู้ขายที่ผลิตสินค้าเหล่านี้ไม่ได้ให้ความสามารถในการปิด ซึ่งหมายความว่าพวกเขามุ่งเน้นที่ความสะดวกในการใช้งานล้วนๆ และผลที่ตามมาก็คือการเสียสละความปลอดภัยด้วยผลลัพธ์เกือบทุกครั้ง"
จำนวนผู้ใช้แพลตฟอร์มการประชุมทางวิดีโอเพิ่มขึ้นอย่างมาก โดยมีคนจำนวนมากถูกบังคับให้ทำงานจากที่บ้านในช่วงการระบาดของโคโรนาไวรัส Hank Schless ผู้จัดการอาวุโสด้านโซลูชั่นความปลอดภัยที่ Lookout บริษัทรักษาความปลอดภัยในโลกไซเบอร์ กล่าวในการสัมภาษณ์ทางอีเมล
"นักแสดงที่เป็นอันตรายรู้ว่ามีผู้ใช้ใหม่จำนวนมากที่ไม่คุ้นเคยกับแอปที่พวกเขาสามารถใช้ประโยชน์ได้" เขากล่าวเสริม "ในแคมเปญประเภทนี้ พวกเขามักใช้ทั้ง URL ที่เป็นอันตรายและไฟล์แนบข้อความปลอมเพื่อนำเป้าหมายไปยังหน้าฟิชชิ่ง"
วงในเป็นภัยคุกคามที่ใหญ่ที่สุด
แฮงเอาท์วิดีโอมีความเสี่ยงมากที่สุดเมื่อมีการบันทึกและจัดเก็บการโทรบนเซิร์ฟเวอร์บุคคลที่สามหรือบนเซิร์ฟเวอร์ของผู้ให้บริการแอป Hang Dinh ศาสตราจารย์ด้านคอมพิวเตอร์และสารสนเทศที่ Indiana University South Bend กล่าวในอีเมล สัมภาษณ์
เช่น แฮงเอาท์วิดีโอบน Facebook Messenger จะถูกเก็บไว้ในเซิร์ฟเวอร์ของ Facebook และพนักงานของ Facebook สามารถดูได้
"หากพนักงานคนใดคนหนึ่งไม่ระวังความปลอดภัย การโทรของคุณอาจถูกแฮ็กได้" Dinh กล่าวเสริม "อย่าลืมว่า Twitter ก็ถูกแฮ็กด้วยเพราะความผิดของคนใน"
เพื่อให้การสื่อสารปลอดภัยยิ่งขึ้น ผู้ใช้ควรเลือกแฮงเอาท์วิดีโอที่เข้ารหัสตั้งแต่ต้นทางถึงปลายทาง เช่น WhatsApp, Google Duo, FaceTime และ ExtentWorld Dinh กล่าว
"การเข้ารหัสแบบ end-to-end หมายความว่าการโทรจะไม่ถูกจัดเก็บและถอดรหัสบนเซิร์ฟเวอร์บุคคลที่สาม รวมถึงเซิร์ฟเวอร์ของผู้ให้บริการการโทรด้วย" เธอกล่าวเสริม
ซอฟต์แวร์การประชุมทางวิดีโอยอดนิยม Zoom เพิ่งเริ่มให้บริการแฮงเอาท์วิดีโอที่เข้ารหัสตั้งแต่ต้นทางถึงปลายทาง อย่างไรก็ตาม คุณลักษณะการเข้ารหัสบน Zoom ไม่ได้เปิดใช้งานโดยค่าเริ่มต้น Dinh ตั้งข้อสังเกต
สำหรับคนส่วนใหญ่ ความเสี่ยงที่สำคัญที่สุดในการแฮ็กวิดีโอคือการดักฟัง Chris Morales หัวหน้าฝ่ายวิเคราะห์ความปลอดภัยที่บริษัทรักษาความปลอดภัยทางไซเบอร์ Vectra AI กล่าวในการสัมภาษณ์ทางอีเมล
"ความเสี่ยงอีกประการหนึ่งคือการหยุดชะงักของเซสชันด้วยภาพและเสียงที่ใช้ร่วมกัน" เขากล่าว "คิดว่ามันเหมือนกราฟิตีดิจิทัล"
เพื่อป้องกันแฮกเกอร์ ผู้ใช้ควรมีรหัสผ่านสำหรับการประชุมทางวิดีโอทั้งหมด Morales กล่าว
รหัสผ่านนั้นไม่ควรโพสต์แบบสาธารณะและควรแชร์แบบส่วนตัว โดยค่าเริ่มต้น ผู้ดำเนินรายการสามารถปิดเสียงผู้เข้าร่วมทั้งหมดและปิดใช้คุณสมบัติการแชร์หน้าจอได้ “รหัสผ่านนั้นแข็งแกร่งเพียงใดจะยังส่งผลกระทบต่อความสามารถของบางคนในการเข้าถึงเซสชันปัจจุบัน” เขากล่าวเสริม "แต่ก็ยังดีกว่าไม่มีรหัสผ่านเลย"