Belangrijkste leerpunten
- Uit een recent rapport van cyberbeveiligingsbedrijf McAfee blijkt dat software voor videogesprekken kan worden gehackt om gebruikers te bespioneren.
- Dating-apps zoals eHarmony en Plenty of Fish behoorden tot degenen die werden geïdentificeerd als kwetsbaar voor hacking.
- Het aantal mensen dat videoconferentieplatforms gebruikt, is dramatisch toegenomen, waarbij veel mensen gedwongen zijn thuis te werken tijdens de coronaviruspandemie.
Volgens nieuw onderzoek zijn je videogesprekken misschien niet zo veilig als je denkt. Cyberbeveiligingsbedrijf McAfee heeft een rapport uitgebracht waarin een nieuwe kwetsbaarheid in een video-oproepsoftware-ontwikkelingskit (SDK) wordt ontdekt. Hackers kunnen dit beveiligingslek misbruiken om live video- en audiogesprekken van gebruikers te bespioneren. Dating-apps zoals eHarmony en Plenty of Fish behoorden tot degenen die het kwetsbare SDK-platform gebruikten. “Of u nu regelmatig virtuele werkvergaderingen bijwoont of bijpraten met uitgebreide familie over de hele wereld, als consument is het belangrijk om te beseffen waar u precies aan begint bij het downloaden van applicaties die u helpen verbonden te blijven”, Steve Povolny, hoofd van McAfee Advanced Threat Research zei in een e-mailinterview. “Naarmate de snelle, brede acceptatie van tools en apps voor videoconferenties plaatsvindt, zullen er onvermijdelijk potentiële bedreigingen voor de online veiligheid ontstaan.”
Veel bedreigingen voor videochats
De SDK, geleverd door het softwarebedrijf Agora.io, kan worden gebruikt door toepassingen voor spraak- en videocommunicatie op vele platforms, zoals mobiel en internet. Het is niet bekend hoeveel andere apps getroffen kunnen zijn, zei Povolny. Sinds McAfee dit beveiligingsprobleem heeft ontdekt, heeft Agora zijn SDK bijgewerkt om codering te bieden. Maar experts zeggen dat veel soorten videocommunicatie kwetsbaar blijven voor hacking. Alles wat met internet is verbonden, kan worden gehackt, zei Joseph Carson, hoofd beveiligingswetenschapper bij cyberbeveiligingsbedrijf Thycotic, in een e-mailinterview.
“Alle apparaten die camera’s bevatten, kunnen absoluut worden misbruikt om video op te nemen, die gegevens te analyseren en spraak- of gezichtsherkenning uit te voeren”, voegde hij eraan toe. “Bij veel incidenten bieden de leveranciers die ze maken niet de mogelijkheid om ze uit te schakelen, wat betekent dat ze zich puur richten op gebruiksgemak en daardoor bijna altijd de veiligheid opofferen.” Het aantal mensen dat videoconferentieplatforms gebruikt, is dramatisch toegenomen, waarbij veel mensen gedwongen zijn om thuis te werken tijdens de coronaviruspandemie, zei Hank Schless, senior manager beveiligingsoplossingen bij cyberbeveiligingsbedrijf Lookout, in een e-mailinterview. “Kwaadwillende actoren weten dat er veel nieuwe gebruikers zijn die niet bekend zijn met de apps die ze kunnen exploiteren”, voegde hij eraan toe. “In dit soort campagnes gebruiken ze vaak zowel kwaadaardige URL’s als valse berichtbijlagen om doelen naar phishing-pagina’s te brengen.”
Insider-aanvallen zijn de grootste bedreiging
Videobellen is het meest kwetsbaar wanneer het gesprek wordt opgenomen en opgeslagen op een server van een derde partij of op de server van de app-provider, zei Hang Dinh, een professor in computer- en informatiewetenschappen aan de Indiana University South Bend, in een e-mailinterview. Videogesprekken op Facebook Messenger worden bijvoorbeeld opgeslagen op de servers van Facebook en kunnen worden bekeken door de medewerkers van Facebook. “Als een van hun werknemers niet voorzichtig is met de beveiliging, kunnen je oproepen worden gehackt”, voegde Dinh eraan toe. “Vergeet niet dat Twitter ook is gehackt vanwege de schuld van een insider.”
Om hun communicatie veiliger te maken, moeten gebruikers kiezen voor end-to-end versleutelde videogesprekken zoals WhatsApp, Google Duo, FaceTime en ExtentWorld, zei Dinh. “Door end-to-end versleuteld te zijn, worden de oproepen niet opgeslagen en ontsleuteld op een server van een derde partij, inclusief de servers van de provider”, voegde ze eraan toe. Populaire videoconferentiesoftware Zoom is onlangs ook begonnen met het aanbieden van end-to-end versleutelde videogesprekken. Toch is de coderingsfunctie op Zoom niet standaard ingeschakeld, merkte Dinh op. Voor de meeste mensen is afluisteren het grootste risico voor videohacking, zegt Chris Morales, hoofd beveiligingsanalyse bij cyberbeveiligingsbedrijf Vectra AI, in een e-mailinterview. “Het andere risico is de verstoring van een sessie met gedeelde beelden en geluiden”, zei hij. “Zie het als digitale graffiti.” Om hackers buiten te houden, moeten gebruikers wachtwoorden hebben voor alle videoconferenties, zei Morales. Dat wachtwoord mag niet openbaar worden geplaatst en moet privé worden gedeeld. De moderator kan ook standaard dempen voor alle deelnemers inschakelen en functies voor het delen van schermen uitschakelen. “Hoe sterk dat wachtwoord is, heeft nog steeds invloed op de mogelijkheid voor iemand om toegang te krijgen tot een huidige sessie”, voegde hij eraan toe. “Maar het is veel beter dan helemaal geen wachtwoord.”
