Видеоконференции стали ключевым фактором роста удаленной работы. От одинокой работы на дому до предприятия с командами по всему миру, VC обеспечивает реальное общение лицом к лицу. Но приносит ли это новый риск для бизнеса?
Мы воспринимаем средства VC как должное, стремясь к лучшему звуку, более быстрой графике и лучшим инструментам для командной работы, но уделяем ли мы достаточно внимания безопасности? Платформы, такие как FaceTime, WhatsApp и Skype, используют распространенные технологии, такие как WebRTC, что, если хакер сможет найти и использовать уязвимость?
Здесь мы кратко рассмотрим недавно проведенное исследование уязвимостей и то, как хакер может их использовать. Наконец, мы рассмотрим лучшие способы защиты наших вызовов VC.
Каковы риски?
Для деловых вызовов VC существует значительный потенциальный риск раскрытия конфиденциальной информации. Это могут быть руководители, обсуждающие финансовую информацию, или технические специалисты, делящиеся информацией об интеллектуальной собственности. Конфиденциальная информация похожа на магнит для хакеров. Вне бизнеса взломанные данные отдельных лиц, такие как их учетные записи Facebook или WhatsApp, представляют ценность.
Как это могло быть сделано?
Натали Сильванович из команды Google Project Zero недавно обнаружила уязвимости, которыми мог воспользоваться хакер (с тех пор они были исправлены). Веб-связь в реальном времени (WebRTC) — это широко используемая технология с открытым исходным кодом, которая обеспечивает связь в реальном времени. Сильванович обнаружил несколько уязвимостей в WebRTC, достаточно серьезных, чтобы вызвать сбой с ошибками выхода за границы или переполнения.
Хакеры часто инициируют переполнение кучи памяти в качестве инструмента взлома. Инициировав переполнение на устройстве цели, хакер может завладеть их учетной записью и перехватить VC. Возможны два способа:
- Хакер инициирует вызов VC, используя мошенническое устройство, устанавливает одноранговую связь и запускает уязвимость на устройстве цели.
- Используя метод фишинга, цель убеждается инициировать виртуальную сеть, но с использованием сигнального сервера, находящегося под контролем хакера. После этого хакеру будет проще установить одноранговую связь со своим мошенническим устройством.
Повлияет ли это на оптовые тарифы на терминацию VoIP?
Мы наблюдаем рост мошенничества в сфере телекоммуникаций, влияющего на доходы операторов. Такие атаки, как голосовое мошенничество, SMS-мошенничество и мошенничество с IPX, нацелены как на операторов, так и на предприятия, которые их используют. Примеры методов взлома, которые мы описываем, повлияют на бизнес и потребителей, хотя мы не должны исключать эскалацию атак на операторов.
Как мы можем защитить себя?
Сильванович представил уязвимости как ошибки, которые затем были устранены. Так что непосредственных причин для беспокойства в контексте этих конкретных случаев нет. Однако бдительность, как всегда, имеет жизненно важное значение, чтобы не подвергать риску бизнес-операции. Вот три предложения по снижению риска:
- Обновите инструмент VC до последнего исправления безопасности, как только оно станет доступным. Разработчики постоянно исправляют уязвимости и выпускают их, поэтому очень важно идти в ногу со временем.
- Обучите персонал не отвечать на звонки ВК с неизвестных номеров. Входящий звонок — естественная точка входа для хакера
- Используйте брандмауэр для защиты связи VC
Если вы ищете надежное и безопасное решение для видеоконференций, попробуйте Huddle от Net2Phone. Huddle обеспечивает безопасное виртуальное общение лицом к лицу с людьми по всему миру.