05/2022

   Report bezpečnosti

Tak aby bolo jasno: Čo je sledovanie a čo špehovanie používateľov?

Štúdia, ktorá šokovala svet – sleduje vás aj mikrofón počas videokonferencie. Inštalácia špehovacieho softvéru je však extrémne drahá záležitosť.

O tom, ako sa používa kamera počas videokonferencií, sa popísalo už veľa a používatelia si zvyknú kontrolovať prístup. Prípadne rovno mechanicky zakryť objektív kamery. Ale mikrofón? Pre to, aby sa zabezpečila rovnaká úroveň ochrany súkromia v prípade používania mikrofónu, sa urobilo len málo. Tak znie správa výskumného tímu University of Wisconsin-Madison a Loyola University Chicago, ktorá v tomto roku nielenže šokovala, ale prinútila technologickú korporáciu k zmene.

Áno, aplikácie nás sledujú

Na začiatok si výskumníci dali jednoduchú otázku: Čo sa deje s údajmi z mikrofónu, keď používateľ v aplikácii klikne na tlačidlo mute?

Okrem toho, že používatelia často nesprávne používajú stíšenie mikrofónu, samotné videokonferenčné aplikácie si vysvetľujú túto funkciu rôzne. Preto výskumníci nástrojmi binárnej analýzy sledovali zvukový tok v aplikácii, keď prechádza od zvukového ovládača do siete. V štúdii bolo zaradených desať populárnych videokonferenčných aplikácií*, pričom participovalo 223 používateľov s rôznymi operačnými systémami.

Niektoré aplikácie počas stlmenia nepretržite monitorovali vstup mikrofónu, iné to robili iba periodicky a jedna prenášala zvukovú štatistiku na svoje telemetrické servery. Zoom sa napríklad občas „pozrel“, či používateľ hovorí alebo má stíšený mikrofón. Webex zbieral dáta z mikrofónu priebežne a odosielal na svoj server. V januári však na základe upozornenie spoločnosť Cisco uviedla, že túto funkcionalitu zrušila.

Čo sa dialo, keď bol stíšený mikrofón?

Na základe zachytených zvukov výskumný tím na pozadí klasifikoval skupinu šiestich aktivít v čase online konferencie. A to s pravdepodobnosťou 82 percent, keď vedci na túto identifikáciu využili strojové učenie. Nejak sme síce už tušili, čo sa zvyčajne počas videokonferencií deje, ale pre poriadok – upratovanie (najčastejšie sa vysávalo), varenie a jedenie, zvuk klávesnice, čiže písanie, šum hovoriaceho davu, štekanie psa a klasická hudba.

Dobrá správa

Výskumný tím radí používať videokonferencie z webového prehliadača a používať tlačidlo mute v softvérom nastavení počítača, nie videokonferenčného softvéru. Ovládanie zvuku si môžete nastaviť v operačnom systéme tak, aby aplikácie cez vstupný mikrofónový kanál prijímali „zvuk s nulovou hlasitosťou“. Ak pripájate mikrofón k počítaču káblom, odpojte ho, aj keď je stlmený. Samozrejme, ak budete chcieť niečo v rámci videokonferencie povedať, musíte všetko nastaviť späť.

A ako hovorí klasik – keď príde k najhoršiemu, prečítajte si manuál. V tomto prípade, ako sú spravované vaše údaje a aké riziká sú spojené s používaním aplikácií.

Od sledovania k špehovaniu

Jediným zo všeobecne známych – a nie nutne škodlivých nástrojov na sledovanie používateľov webových stránok na internete sú cookies. Zisťujú typ vášho zariadenia, lokalizáciu, preferencie, vyhľadávanie, pohyb na webovej stránke alebo na sieti a históriu vyhľadávania. Legislatívny tlak na prevádzkovateľov a poskytovateľov služieb má zabezpečiť, že používateľ o aktivitách vie a môže o nich rozhodovať alebo ich zakázať.

Pozornosť médií však priťahuje softvér na špehovanie používateľov, čiže spyware. Označuje sa tak škodlivý kód, ale aj priemyselne produkovaný softvér, ktorý tajne zaznamenáva informácie a sleduje online aktivity používateľa v počítačoch alebo mobilných zariadeniach. Dokáže monitorovať a kopírovať všetko, čo zadáte, nahráte, stiahnete a uložíte, a niektoré druhy sú schopné aktivovať kamery a mikrofóny.

Spyware v počítači alebo mobilnom zariadení vykonáva množstvo skrytých operácií.

  • Keylogging, čiže zaznamenávanie všetkého, čo píšete, vrátane používateľských mien a hesiel
  • Nahrávanie zvuku a videa a snímanie snímok obrazovky
  • Diaľkové ovládanie zariadenia
  • Snímanie obsahu z e-mailov, správ a sociálnych aplikácií
  • Zaznamenávanie histórie prehliadača

Špionážny softvér je navrhnutý tak, aby bol nezistiteľný a nevystopovateľný, niektoré varovné signály však môžeme sledovať.

  • Počítač, mobil alebo tablet majú pomalší výkon ako zvyčajne
  • Zariadenie často zamŕza alebo padá
  • Začnete dostávať veľa pop-up okien
  • Domovská stránka vášho prehliadača sa neočakávane zmení
  • Na paneli úloh sa objavia nové alebo neidentifikovateľné ikony
  • Vyhľadávanie na webe vás presmeruje na iný vyhľadávací nástroj
  • Pri používaní aplikácií, s ktorými ste predtým nemali problémy, sa vám začnú zobrazovať náhodné chybové hlásenia

Najsilnejšia zbraň

Pravdepodobne najznámejším špionážnym softvérom sa stal Pegasus. Vznikol v roku 2011, pôvodne ako prostriedok na boj proti terorizmu či obchodovaniu s drogami. Licenciu nakupujú aj vlády, pričom výrobca neberie zodpovednosť za zneužívanie softvéru a deklaruje predaj iba na základe prísneho auditu.

Pegasus si rýchlo vyslúžil titul najsilnejšej kybernetickej zbrane na svete. Využije zraniteľnosť zariadenia a nabúra sa do systému bez nutnosti kliku na škodlivý link, čiže funguje na princípe zero-click payload. Útok s nulovým kliknutím je obzvlášť desivý. Útočník jednoducho rozpošle phishingové správy a smartfón sa premení na špičkové sledovacie zariadenie. Napríklad aj taký obrázok odoslaný cez iMessage.

NSO Group totiž používalo nezverejnenú zraniteľnosť systému iOS s názvom HOMAGE, ktorú podrobne opísala až nedávno spoločnosť Citizen Lab. Verzie iOS nižšie ako 13.2 môžu byť ešte stále ohrozené, a preto je dôležité aktualizovať operačný systém. A ak ste čítali iba málo správ o infikovaní telefónov s operačným systémom Android, je to zatiaľ dôsledkom skôr nedostatočných nástrojov detekcie ako samotnou ochranou zariadení. Schopnosti spyware infikovať miliardy telefónov a obísť šifrovanie sú alarmujúce.

A vôbec to teda nie je lacné

Náklady na nasadenie sofistikovaného „špiónskeho kódu“ sú vysoké a s rastúcim dopytom budú čoraz vyššie. The New York Times v roku 2016 publikoval prehľad cien spoločnosti NSO Group. Obchodné návrhy získali novinári od osôb, ktoré chceli zostať v anonymite, a odvtedy sa neobjavil aktuálnejší verejný cenník.

Za paušálny inštalačný poplatok päťstotisíc amerických dolárov výrobca sľuboval neobmedzený prístup k cieľovým zariadeniam bez zanechania stopy. Za špehovanie desiatich používateľov mobilných zariadení to bolo 650-tisíc amerických dolárov a potom diskontné ceny pre ďalšie skupiny až po sumu 800-tisíc dolárov pre sto ďalších cieľov. Ročný poplatok za údržbu systému bol 17 percent z celkovej ceny.

Podľa správy Business and Human Rights Resource Centre od roku 2015 zakúpilo alebo použilo invazívny spyware 74 vlád. Tento typ softvéru ponúka osemnásť producentov, pričom tri štvrtiny (78 %) z nich majú domicil v Európe, USA a Izraeli. Ich zákazníkmi sú prevažne represívne režimy, menej ako desatinu z nich považujú autori správy za úplné demokracie.


 *Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet, Discord

Správy a štúdie

Yucheng Yang (University of Wisconsin-Madison), Jack West (Loyola University Chicago), George K. Thiruvathukal (Loyola University Chicago), Neil Klingensmith (Loyola University Chicago), and Kassem Fawaz (University of Wisconsin-Madison)

Are You Really Muted?: A Privacy Analysis of Mute Buttons in Video Conferencing Apps

Business and Human Rights Resource Centre: Global Spyware Market Index

Informačný súhlas: Na účely merania a štatistiky návštevnosti webovej stránky používame súbory cookies. Ide o štatistické údaje o tom, kedy a ako používatelia prezerajú stránky, a tieto údaje neidentifikujú žiadnu fyzickú osobu. Používame cookies tretích strán, ktoré sú štandardné pre daný odbor, napríklad Google Analytics. Ak chcete odmietnuť akceptáciu cookies, môžete tak urobiť v nastavení vášho prehliadača.

Rozumiem

Informačný súhlas: Na účely merania a štatistiky návštevnosti webovej stránky používame súbory cookies. Ide o štatistické údaje o tom, kedy a ako používatelia prezerajú stránky, a tieto údaje neidentifikujú žiadnu fyzickú osobu. Používame cookies tretích strán, ktoré sú štandardné pre daný odbor, napríklad Google Analytics. Ak chcete odmietnuť akceptáciu cookies, môžete tak urobiť v nastavení vášho prehliadača.

Rozumiem