L’interesse per la sicurezza dei software per le videoconferenze, che ormai da due anni accompagnano quotidianamente milioni di lavoratori, è sempre in prima linea e, a tal proposito, i ricercatori di tre università statunitensi hanno pubblicato uno studio che analizza se il pulsante mute svolge effettivamente la sua funzione. Benché molto eterogenei, i risultati della ricerca, riportati da Kaspersky in un articolo di approfondimento, suggeriscono che è arrivato il momento di riconsiderare il concetto di privacy durante le chiamate di lavoro.

Se avete mai usato Microsoft Teams, sicuramente la seguente situazione vi risulterà familiare: vi collegate a una chiamata in modalità mute, dimenticate di disattivare la funzione, iniziate a parlare e Teams vi ricorda che il microfono è stato disattivato. Chiaramente, questa funzione (certamente comoda) non può funzionare se il pulsante mute disattiva del tutto il microfono. Come viene quindi implementata questa funzione? Il suono dal microfono viene inviato al server del fornitore della soluzione anche in modalità mute?

Queste sono alcune delle domande che si sono posti gli autori dello studio, che per trovare una risposta hanno analizzato la complessa interazione con il microfono su dieci servizi di videoconferenza, esaminando per ogni caso quello che succedere con le chiamate basate su browser.

Dal punto di vista della privacy, la soluzione migliore per le chiamate in videoconferenza sembrerebbe essere un client web. Tutti i servizi di videoconferenza basati sul web sono stati testati in un browser basato sul motore open-source Chromium come Google Chrome e Microsoft Edge. In questa modalità, tutti i servizi devono rispettare le regole di interazione del microfono, come stabilito dagli sviluppatori del motore del browser. Ciò significa che quando il pulsante mute è attivo nell’interfaccia web, il servizio non deve captare alcun suono.

Le app per desktop hanno invece più permessi. I ricercatori hanno analizzato come e quando l’app interagisce con il microfono confrontando i dati audio catturati dal microfono con il flusso di informazioni inviate al server, scoprendo che programmi diversi hanno un comportamento diverso.

How-To-Mute-Zoom-1280x720

  • Zoom. Il client di Zoom fornisce un esempio di comportamento accettabile. In modalità mute, l’app non cattura il flusso audio e quindi non ascolta ciò che sta succedendo intorno a voi. Detto questo, il client richiede regolarmente informazioni che gli permettono di determinare il livello di rumore vicino al microfono. Non appena il silenzio finisce (iniziate a parlare o semplicemente fate un rumore), il client vi ricorda, come sempre, di disattivare la modalità mute.
  • Microsoft Teams. Per quanto riguarda il client di Teams, le cose sono leggermente più complicate. Il programma non utilizza l’interfaccia standard del sistema per interagire con il microfono, ma comunica direttamente con Windows. Per questa ragione, i ricercatori non sono stati in grado di determinare nel dettaglio come il client Teams gestisca il muting durante una chiamata.
  • Cisco Webex. Il client Cisco Webex ha mostrato adottare il comportamento più insolito. Unico tra tutte le soluzioni testate, ha costantemente processato il suono del microfono durante la chiamata, indipendentemente dallo stato del pulsante mute all’interno dell’app. Tuttavia, da un’analisi più dettagliata del client, i ricercatori hanno scoperto che Webex non vi spia: in modalità mute, il suono non viene infatti trasmesso al server remoto. Tuttavia, invia i metadati, in particolare il livello del volume del segnale. A prima vista, questo non sembra un grosso problema, ma i ricercatori sono stati in grado di determinare una serie di parametri di base rispetto a ciò che stava accadendo dalla parte dell’utente. Per esempio, è stato possibile determinare con certa sicurezza che l’utente era collegato ad un’importante chiamata di lavoro, aveva spento il microfono e la fotocamera, stava passando l’aspirapolvere nell’appartamento o stava cucinando. Era possibile sapere persino se altre persone erano presenti nella stanza (per esempio, se la chiamata proveniva da un luogo pubblico). Questo comportava l’uso di un algoritmo simile per certi versi a quello di Shazam e di altre app musicali. Per ogni “campione di rumore”, viene creato un insieme di modelli e confrontato con i dati catturati dal client Cisco Webex.

Livelli di privacy

Lo studio offre alcuni consigli pratici e conferma un dato piuttosto scontato, ovvero che non abbiamo il pieno controllo su quali dati vengono raccolti su di noi o come. Un aspetto positivo del report è che non è stato trovato alcun aspetto davvero grave e pericoloso relativo al funzionamento dei popolari strumenti di videoconferenza analizzati.

Se comunque non vi sentite a vostro agio nell’usare un software installato sul vostro computer con accesso costante al microfono, una soluzione semplice potrebbe essere quella di collegarsi attraverso un client web. Certo, le funzionalità saranno limitate, ma la privacy aumenterà: in tal caso, il pulsante mute disattiva davvero il microfono.

Un’altra opzione è un pulsante mute per microfono di tipo hardware (se ne avete uno sul vostro computer) oppure delle cuffie esterne. Il pulsante mute presente sui principali modelli di auricolari spesso isola il microfono dal computer fisicamente, non tramite software.

Il vero pericolo non sono gli strumenti di videoconferenza in sé, ma i malware che possono spiare le vittime e inviare registrazioni audio di conversazioni importanti ai suoi creatori. In questo caso, avrete bisogno non solo di una soluzione di sicurezza che si occupi dei programmi indesiderati, ma anche di un mezzo per controllare chi accede al microfono e quando, soprattutto nel caso in cui un programma legittimo decida di farlo senza chiedere permesso.