Šis siaubingas „Zoom“ įsilaužimas atbaidys jus nuo šnekėjimo

Atėjo laikas iš naujo apsvarstyti, kaip prijungiame „Zoom“, „Skype“ ir „Google Hangout“.

Šis siaubingas „Zoom“ įsilaužimas atbaidys jus nuo šnekėjimo

Dabar, kai tiek daug dienų praleidžiame „Zoom“, manau, kad visi galime būti pakankamai suaugę, kad prisipažintume: visi šnekučiavomės šnekučiuodami, sakydami vieną dalyką fotoaparatui, kitą-šone. Galbūt tai buvo pokštas dėl „Gchat“ bendradarbio sąskaita. Galbūt tai buvo tik daugiafunkcinis kai kurių el. Galbūt tai buvo slaptažodžio įvedimas į kitą svetainę.



Tai gana nekenksmingas elgesys, tačiau jis gali sugrįžti mus įkandęs. Mokslininkai iš Teksaso universiteto San Antonijuje ir Oklahomos universiteto parodė kažką bauginančio: Jie gali skaityti, ką žmonės rašo vaizdo skambučių metu „Zoom“, „Skype“ ir „Google Hangout“ iki 93% tikslumu. Ką jie analizuoja, kad tai padarytų? Ne rankos, o pečiai.

Žvelgiant iš aukšto lygio perspektyvos, tai kelia susirūpinimą, kuris, žinoma, kurį laiką buvo nepastebėtas, sako tyrimui vadovavusi Teksaso universiteto informatikos profesorė Murtuza Jadliwala, nagrinėdama, kas gali nutikti, jei jūsų vaizdo susitikimas būtų nulaužtas. Ir tiesą sakant, mes nepradėjome šio darbo dėl COVID-19. Tai truko metus. . . . Bet mes pradėjome suvokti COVID-19, kai viskas [vyksta vaizdo pokalbiuose], tokios atakos svarba padidėja.

Kaip paaiškina Jadliwala, pagrindinė problema yra ta, kad mūsų tiesioginiai vaizdo įrašų srautai pateikiami labai tiksliai, o jų pikseliai perteikia daugiau informacijos, nei mes suprantame. Nenaudodama jokių specialių mašininio mokymosi ar dirbtinio intelekto metodų, Jadliwala komanda suprato, kaip perskaityti subtilius pikselių poslinkius aplink kažkieno pečius, kad būtų galima nustatyti pagrindinius jų kardinalius judesius: šiaurę, pietus, rytus ir vakarus.



[Vaizdas: Mohd Sabra, Anindya Maiti, Murtuza Jadliwala / arXiv ]

Taikomos klaviatūrai, šios keturios kryptys iš tikrųjų reiškia daug. Jei rašote katę, pradėkite nuo C, eikite į vakarus iki A, tada grįžkite į rytus iki T. Kai mokslininkai išsiaiškino, kaip perskaityti šias kryptis per peties judesius, jie galėjo sukurti programinę įrangą, kuri galėtų juos kryžminiai nurodyti su tuo, ką jie vadina žodžių profiliais, sudarytais naudojant anglų kalbos žodyną, kuris krypčių labirintą pavertė prasmingais žodžiais.

Šio tipo įsilaužimo būdas yra gana paprastas. Kiekvienas, turintis prieigą prie jūsų vaizdo įrašo sklaidos kanalo, gali jį įrašyti - nesvarbu, ar tai yra nepažįstamas nepažįstamasis, įsilaužęs į jūsų kanalą, ar kas nors, ką žinote, yra jūsų susitikimo dalis. Tada jie atsiųs tą įrašytą vaizdo įrašo kanalą per programinę įrangą, kuri analizuotų, kai rašote, ir ką įvedate.



Laboratorijoje, naudojant tam tikrą kėdę, klaviatūrą ir internetinę kamerą - tikrinant ribotą žodžių rinkinį - vidutinis programinės įrangos tikslumas buvo 75%. Kai komanda išbandė tiriamus asmenis, dirbančius namuose nekontroliuojamai (jie buvo paprašyti apsilankyti bet kurioje svetainėje, rašyti el. Laiškus ir įvesti slaptažodžius), tikslumas smarkiai sumažėjo. Komanda sugebėjo pakeisti 66% aplankytų svetainių, tačiau tik 21% atsitiktinių angliškų žodžių ir apie 18% įvestų slaptažodžių. Šio sumažėjusio tikslumo priežastis buvo ta, kad modelis daro išvadas, remdamasis sakinių kontekstu, todėl atsitiktiniais žodžiais jis turi sunkesnį laiką. Tuo tarpu slaptažodžių dažnai nėra žodyne, todėl programinei įrangai sunkiau juos išsiaiškinti tiesiog kryžminėmis nuorodomis į anglų kalbą. Tikslumas, nukritęs už laboratorijos ribų, buvo mažiau susijęs su apšvietimu ar fotoaparato kokybe nei kai kurios pačios programinės įrangos subtilybės.

Kiti dalykai taip pat supainiojo modelį. Tai buvo šiek tiek mažiau tiksli analizuojant ilgas rankoves, palyginti su trumpomis rankovėmis. Ilgi plaukai visiškai slėpė vieno subjekto pečius, iš esmės veikė kaip apsiaustas to, ką jie rašė. O žmones, kurie medžiojo ir knarkė raktus, buvo daug sunkiau skaityti nei tuos, kurie rašė dideliu greičiu ir puikios formos.

Tačiau Jadliwala atkreipia dėmesį, kad tai vis dar yra didelis pažeidžiamumas, ypač todėl, kad jis pagrįstas ne vienos įmonės probleminiu kodu, bet visa vaizdo pokalbių programinės įrangos industrija, kuria daugelis iš mūsų kasdien remiasi jautriam bendravimui. Šis saugumo pažeidimas atsirado dėl pačios komunikacijos terpės dizaino.



Daug kartų, kaip veikia atsakingi [saugumo] tyrimai, jei rasiu problemų su „Zoom“ ar „Google“ programine įranga, aš net neskelbiu. Aš pirmiausia su jais susisieksiu, sako Jadliwala. Šį kartą jis nusprendė nelaukti. Tačiau mūsų tyrimai nėra susiję su „Zoom“ ar „Google“. Tam tikra prasme jie negali nieko padaryti programinės įrangos lygiu.

Tai kas gali ar tai daro vaizdo pokalbių platformos? Paprasta: automatiškai suliekite vaizdo įrašą aplink kažkieno pečius, kai jis aptinka ką nors rašantį. Atsižvelgiant į tai, kad tokios platformos kaip „Zoom“ dabar leidžia išlyginti odą ir virtualus fonas, yra precedento redaguoti vaizdo įrašo srautą prieš dalijantis juo su pasauliu.

Kalbant apie tai, ką galite padaryti iki tol, kad užtikrintumėte savo ryšius, žinokite, kad nors Jadliwala viešai pasidalijo daugeliu savo tyrimų pagrindų, jis nesidalijo tikru savo laboratorijos naudojamu kodu su kitais tyrėjais ir jis neplanuoja iki 2021 m. vasario, kai pristatys šį dokumentą saugumo konferencijoje. Kad kas nors įvykdytų šią ataką [šiandien], jiems reikės daug patirties ir patirties, sako Jadliwala.

Tačiau kol „Zoom“, „Skype“ ir „Hangout“ nepradės migloti jūsų pečių, galite apsvarstyti viską, ką tyliai įrašote įraše. Arba tiesiog išauginkite plaukus.