Videokonferenz-Apps fragen das Mikrofon ab, selbst wenn stummgeschaltet

Leute, die schwarzes Klebeband über die Kamera ihres Laptops kleben, sorgen immer für ein paar hochgezogene Augenbrauen im Raum. Es scheint jedoch, dass ähnliche scheinbar extreme Vorsichtsmaßnahmen nicht unangebracht sind. In einer kürzlich veröffentlichten gemeinsamen Veröffentlichung von Universitätsforschern wurde aufgedeckt, dass eine Reihe sehr beliebter Videokonferenzanwendungen weiterhin das Mikrofon abfragen und Daten übertragen, selbst wenn das Mikrofon in den Einstellungen der Software stummgeschaltet ist.

Ist das Ding an?

Die Entdeckung wurde von Teams der University of Wisconsin und der Loyola University Chicago gemacht. Das Papier, das sie veröffentlichten, hieß "Are You Really Muted?" und enthüllte einige sehr seltsame Details darüber, wie Videokonferenzsoftware mit dem Mikrofon Ihres Systems umgeht.

Das Papier zeigt, dass eine Reihe beliebter Apps, die für Sprach- und Video-Chats verwendet werden, das Mikrofon auch dann überwachen, wenn der Benutzer „Stumm“ gedrückt hat. Das bedeutet nicht automatisch, dass Sie jemand abhören kann, aber Forscher fanden heraus, dass die während dieses Überwachungsprozesses übertragenen Telemetriedaten verwendet werden können, um die Hintergrundgeräusche und Aktivitäten des Benutzers zu identifizieren, und dies kann mit einem hohen Maß an Sicherheit durchgeführt werden.

Die Universitätsteams entwickelten einen sogenannten „Proof-of-Concept-Klassifikator für Hintergrundaktivitäten“, der in der Lage war, Hintergrundaktivitäten zu erkennen und die Telemetriedaten des bereits stummgeschalteten Mikrofons zu verarbeiten.

Anwendungen, die gefunden wurden, um das Mikrofon abzufragen, wenn das Gerät stummgeschaltet ist, umfassen mehr oder weniger alle wichtigen Videokonferenzanwendungen. Die Liste umfasst Discord, Ciscos Webex, Google Meet, Skype und Microsoft Teams sowie Slack und Zoom. Nicht alle waren für eine ähnliche Überwachung anfällig, da alle in einem Browser ausgeführten Apps die interne Software-Stummschaltung des Browsers verwendeten, die direkt mit dem Audiotreiber kommuniziert und jegliche Datenübertragung des Mikrofons abschaltet.

Webex-Bedenken teilweise behoben

Webex war in dieser Studie ein herausragender Fall, da die Forscher entdeckten, dass Webex selbst bei stummgeschaltetem Mikrofon immer noch rohes Audio in seinen Audiopuffern hatte. Auch die im Klartext übertragene Telemetrie der Anwendung könnte von den Forschern abgefangen und zur Identifizierung von Benutzeraktivitäten im Hintergrund verwendet werden. Cisco kontaktierte Security Week, die über das Forschungspapier berichteten und erklärten, dass die überwachten Daten auf Audiolautstärke und Verstärkung beschränkt seien und nur dazu gedacht seien, „die Benutzererfahrung und Fehlerbehebung zu unterstützen“. Das Unternehmen erklärte weiter, dass diese Datenerfassung im Zusammenhang mit der Fehlerbehebung eingestellt wurde und Benutzer sich bei weiteren Datenschutzbedenken an das Unternehmen wenden und die vollständige Deaktivierung aller Daten verlangen könnten.