This post is also available in:
English (אנגלית)
מחקר עדכני מדגיש פגיעות מפתיעה בפלטפורמות שיחות וידאו כמו Zoom ו-Microsoft Teams, גם כאשר המצלמות כבויות, המיקרופונים מושתקים או רקעים וירטואליים בשימוש, תוקפים עלולים עדיין לקבוע את מיקומו הפיזי של המשתמש.
חוקרים מאוניברסיטת סאות’רן מטודיסט (SMU) בחנו את האבטחה של אפליקציות שיחות וידאו נפוצות וגילו כי ניתן לנצל ערוצי קול דו-כיווניים באמצעות טכניקה הנקראת "חישה אקוסטית מרחוק". בשיטה זו, התוקפים מזריקים לשיחה צלילים קצרים ומעוצבים בקפידה ומנתחים את ההד החוזר. ההדים הללו נושאים מידע על הסביבה של המשתמש, ומאפשרים לתוקף להסיק פרטי מיקום בדיוק גבוה. במבחנים, הצוות השיג דיוק של עד 88% בזיהוי מיקומים במגוון סביבות, כולל בתים, משרדים, רכבים ובתי מלון.
ההתקפה פועלת גם אם המשתמש זהיר בשימוש במיקרופון. אפילו משתמש שמכבה ומדליק את המיקרופון רק כדי לדבר נותר פגיע. ההדים מואצים באופן טבעי על ידי קול הדובר, מכיוון שפלטפורמות שיחות וידאו מפעילות דיכוי אקוסטי כאשר המשתמשים שותקים, דבר שמחזק במקביל את האות המזיק. במקרים מסוימים, הצלילים הקצרים יכולים להימשך רק 100 מילישניות, פרק זמן קצר מספיק כדי לעבור ללא הבחנה.
חוקרי SMU זיהו שני סוגי התקפות עיקריים: התקפות הד בערוץ (in-channel), שעוקפות דחיית הד סטנדרטית, והתקפות הד מחוץ לערוץ (off-channel), שמנצלות צלילים יומיומיים כמו התראות. שתי השיטות עדינות מספיק כדי להישאר בלתי נראות, כלומר המשתתפים אינם יכולים להסתמך רק על השתקת המיקרופון, דיכוי רעש רקע או רקעים וירטואליים כדי להגן על עצמם.
על פי דיווח של TechXplore, כדי להתמודד עם פגיעויות אלו, צוות החוקרים מפתח אלגוריתמים להגנה בצד השרת. פתרונות אלה נועדו לזהות ולהסיר צלילי חישה חשודים לפני שהם מגיעים למשתתפים, ובכך למנוע מהתוקפים לשחזר מידע על מיקום.
הממצאים מדגישים כי פלטפורמות שיחות וידאו עשויות שלא להיות מאובטחות כפי שנהוג לחשוב. גם פגישות שגרתיות עלולות לחשוף מידע רגיש על מיקום, מה שמבליט את הצורך באמצעי הגנה טכניים נוספים והעלאת מודעות לסיכוני פרטיות מבוססי קול.
המחקר פורסם כאן.
