Confia que o botão de “mudo” protege os seus segredos durante as videochamadas? Não deveria.
Por Rafael Romer
Esteve recentemente numa videoconferência, pressionou o botão “mudo” e depois fez alguns comentários desagradáveis sobre um cliente ou um colega – ou até mesmo o chefe?
Ou talvez numa sala de conferências com colegas – mudo – e apontou que alguma ação proposta violaria os termos de uma aquisição secreta nos seus estágios finais?
Se estava confortável que o botão mudo estava a proteger ativamente o seu segredo, não deveria estar.
Graças a algumas experiências e pesquisas impressionantes de um grupo de académicos da Universidade de Wisconsin-Madison e da Universidade Loyola de Chicago, as declarações feitas enquanto a aplicação está muda ainda são capturadas e salvas na RAM.
A um nível, isto é algo que todos nós já sabíamos. Quando um utilizador é silenciado e diz algo, a maioria das aplicações de videoconferência exibe uma nota a alertar o utilizador de que ele está a falar com o som silenciado. Como poderia dizer isso se não estivesse a ouvir enquanto o botão mudo está ligado?
Assim como a Siri, da Apple, ou a Alexa, da Amazon, estão sempre a ouvir uma palavra de comando, as aplicações “silenciadas” também estão.
A verdadeira questão é se esses enunciados capturados correm um risco significativo de serem acedidos por um invasor ou um insider. Primeiro, qualquer coisa salva na memória volátil é perdida – teoricamente – no instante em que a máquina é reiniciada ou desligada. Portanto, estamos aolhar para a exposição após o enunciado ser feito e antes que a máquina reinicie. Dependendo do comportamento do utilizador, esse prazo pode ser de algumas horas, alguns dias – possivelmente várias semanas.
Geralmente, roubar dados da memória volátil é difícil, mas não impossível. Como os autores do relatório disseram numa entrevista em grupo, se um bandido entrar na memória volátil, o utilizador e a empresa terão preocupações muito maiores do que algumas declarações salvas durante um mudo. Ainda assim, pode acontecer.
O problema do mudo é baseado apenas na aplicação e em como ela lida com esses dados.
Um dos principais autores do relatório é Kassem Fawaz, Professor Assistente do Departamento de Engenharia Elétrica e de Computação da Universidade de Wisconsin-Madison, que também é afiliado ao Departamento de Ciências da Computação de Wisconsin.
“As principais implicações têm a ver com a confiança inerente que os utilizadores depositam nestas aplicações de videoconferência”, disse Fawaz. “Não encontramos evidências de áudio a sair dos dispositivos do utilizador. A única exceção foram os dados de telemetria a sair do Cisco Webex, que foram corrigidos (…). No entanto, mesmo quando o utilizador pressiona o botão mudo, a aplicação ainda tem acesso ao fluxo de áudio e o utilizador confia no bom comportamento da aplicação. A outra implicação é que a funcionalidade de mudo – semelhante a desligar a câmara – não deve ser deixada para a aplicação, mas deve ser controlada pelo sistema operacional ou controlada pelo hardware”.
O ponto de Fawaz sobre a câmara é que a equipa descobriu que um botão de “desligar” da câmara realmente impedia que qualquer vídeo fosse capturado de alguma forma. Não tanto com o áudio. Às vezes, o navegador pode fazer a diferença.
“No Chrome, mudo significa mudo”, disse Fawaz. “Não podemos falar sobre o Safari ou o Firefox”.
O relatório da universidade foi principalmente sobre a confiança nos criadores de aplicações. Se os fornecedores estiverem a agir com honra e respeitando os problemas de privacidade, segurança cibernética e conformidade de segurança, o risco será mínimo. Se eles não agirem dessa forma, utilizadores e empresas podem ter problemas.
O relatório não tirou conclusões sobre como os criadores de aplicações estavam a se comportara, mas apenas enfatizou que cada um pode seguir a sua própria direção.
Dito isto, as regras de sigilo e até mesmo as regras de ser uma boa pessoa devem-se aplicar aqui. Com o cenário de aquisição iminente, se não tiver permissão para discutir certos detalhes, não os diga em frente a um microfone com pessoas de fora, independentemente do que a alternância de mudo exiba. Quanto a ser legal, que tal não fazer comentários desagradáveis sobre os seus colegas ou clientes?
A regra fundamental de e-mail e segurança/conformidade é: “Antes de digitar um e-mail/mensagem, imagine-se a testemunhar num tribunal aberto. Se isso o deixa desconfortável, não digite”. Não é um grande salto estender esta regra para falar algo na frente de um microfone.
Por exemplo, eu uso um Apple Watch. Várias vezes durante um dia típico, ele dirá em voz alta “Eu não entendi isto” ou “Aqui está o que encontrei sobre este tópico”. Embora seja altamente irritante e frustrante, é um lembrete eficaz de que preciso tirar o relógio antes de dizer qualquer coisa que não quero que o mundo saiba.
Precisa ter em mente a mesma coisa ao usar um dispositivo móvel ou um dispositivo desktop – especialmente ao usar uma aplicação de videoconferência.