Il microfono è davvero disattivato?

Oggi citiamo un interessante studio su come funziona il tasto mute quando si usano i servizi di videoconferenza e parliamo di privacy nell’era delle conferenze web.

Durante i due anni della pandemia, milioni di persone hanno imparato ad usare numerosi strumenti per lavorare e comunicare a distanza. Se prima gli utenti pensavano poco alla sicurezza, dopo la massiccia diffusione di tali servizi, hanno iniziato a prestarvi molta più attenzione. L’interesse per la sicurezza dei software per le videoconferenze non è ancora diminuito e a tal proposito, i ricercatori di tre università statunitensi hanno pubblicato uno studio che analizza se il pulsante mute svolge effettivamente la sua funzione. I risultati sono eterogenei, ma senza dubbio suggeriscono che è il momento di riconsiderare il concetto di privacy durante le chiamate di lavoro.

Dove nasce l’idea?

In realtà, l’idea era abbastanza ovvia. Se avete mai usato Microsoft Teams, sicuramente la seguente situazione vi risulterà familiare: vi collegate a una chiamata in modalità mute, dimenticate di disattivare la funzione e iniziate a parlare, al che il programma vi ricorda che il microfono è stato disattivato. Chiaramente, tale funzione (certamente comoda) non può funzionare se il pulsante mute disattiva del tutto il microfono. Come viene quindi implementata questa funzione? Il suono dal microfono viene inviato al server del fornitore della soluzione anche in modalità mute?

Queste sono alcune delle domande poste dagli autori dello studio. Ma come verificare quello che succede? A questo fine, i ricercatori hanno analizzato la complessa interazione con il microfono su dieci servizi di videoconferenza, esaminando per ogni caso quello che succedere con le chiamate basate su browser.

I risultati della ricerca

Dal punto di vista della privacy, la soluzione migliore per le chiamate in videoconferenza sembrerebbe essere un client web. Tutti i servizi di videoconferenza basati sul web sono stati testati in un browser basato sul motore open-source Chromium (la base di molti browser, tra cui Google Chrome e Microsoft Edge). In questa modalità, tutti i servizi devono rispettare le regole di interazione del microfono, come stabilito dagli sviluppatori del motore del browser. Cioè, quando il pulsante mute è attivo nell’interfaccia web, il servizio non deve captare alcun suono. Le app per desktop installate hanno più permessi.

Schema generale di interazione tra le app di videoconferenza installate sul computer e sistema operativo (in questo caso Windows 10)

Schema generale di interazione tra le app di videoconferenza installate sul computer e sistema operativo (in questo caso Windows 10) Fonte 

 

I ricercatori hanno analizzato come e quando l’app interagisce con il microfono confrontando i dati audio catturati dal microfono con il flusso di informazioni inviate al server, e hanno scoperto che programmi diversi hanno un comportamento diverso. Ecco cosa hanno scoperto in merito a popolari servizi.

Zoom

Il client di Zoom fornisce un esempio di comportamento “decente”. In modalità mute, non cattura il flusso audio; cioè, non origlia e non ascolta ciò che sta succedendo intorno a voi. Detto questo, il client richiede regolarmente informazioni che gli permettono di determinare il livello di rumore vicino al microfono. Non appena il silenzio finisce (iniziate a parlare o semplicemente fate un rumore), il client vi ricorda, come sempre, di disattivare la modalità mute.

Microsoft Teams

Per quanto riguarda il suddetto client nativo di Microsoft Teams, le cose sono leggermente più intricate: il programma non utilizza l’interfaccia standard del sistema per interagire con il microfono, ma comunica direttamente con Windows. Per questa ragione, i ricercatori non sono stati in grado di determinare nel dettaglio come il client Teams gestisca il muting durante una chiamata.

Cisco Webex

Il client Cisco Webex ha mostrato adottare il comportamento più insolito. Unico tra tutte le soluzioni testate, ha costantemente processato il suono del microfono durante la chiamata, indipendentemente dallo stato del pulsante mute all’interno dell’app. Tuttavia, da un analisi più dettagliata del client, i ricercatori hanno scoperto che Webex non ti spia: in modalità mute, il suono non viene trasmesso al server remoto. Tuttavia, invia i metadati, in particolare il livello del volume del segnale.

A prima vista, questo non sembra un grosso problema. Tuttavia, solo sulla base di questi metadati, senza accesso al flusso audio reale, i ricercatori sono stati in grado di determinare una serie di parametri di base rispetto a ciò che stava accadendo dalla parte dell’utente. Per esempio, è stato possibile determinare con certa sicurezza che l’utente era collegato ad un’importante chiamata di lavoro, aveva spento il microfono e la fotocamera, stava passando l’aspirapolvere nell’appartamento; o stava cucinando, o che un cane stava abbaiando. Era possibile sapere se altre persone erano presenti nella stanza (per esempio, se la chiamata proveniva da un luogo pubblico). Questo comportava l’uso di un algoritmo simile per certi versi a quello di Shazam e di altre app musicali. Per ogni “campione di rumore”, viene creato un insieme di modelli e confrontato con i dati catturati dal client Cisco Webex.

Livelli di privacy

Lo studio offre alcuni consigli pratici e conferma un dato piuttosto ovvio: non abbiamo il pieno controllo su quali dati vengono raccolti su di noi o come. Un aspetto positivo del report è che non hanno trovato alcun aspetto delittivo relativo al funzionamento dei popolari strumenti di videoconferenza analizzati. Molti software sono molto attenti quando si attiva l’uso del microfono.

Se, nonostante questi risultati positivi, non vi sentite a vostro agio nell’usare un software installato sul vostro computer con accesso costante al microfono, una soluzione semplice potrebbe essere quella di collegarsi attraverso un client web. Certo, le funzionalità saranno limitate, ma la privacy aumenterà: in tal caso, il pulsante mute disattiva davvero il microfono.

Un’altra opzione è un pulsante mute per microfono di tipo hardware (se ne avete uno sul vostro computer) oppure delle cuffie esterne. Il pulsante mute presente sui principali modelli di auricolari spesso isola il microfono dal computer fisicamente, non tramite software.

Il vero pericolo non sono gli strumenti di videoconferenza in sé, ma i malware che possono spiare le vittime e inviare registrazioni audio di conversazioni importanti ai suoi creatori. In questo caso, avrete bisogno non solo di una soluzione di sicurezza che si occupi dei programmi indesiderati, ma anche di un mezzo per controllare chi accede al microfono e quando, soprattutto nel caso in cui un programma legittimo decida di farlo senza chiedere permesso. Le soluzioni  Kaspersky sia per la casa che per le aziende hanno una funzione separata che vi informa quando un software cerca di accedere al microfono o alla webcam.

Consigli