视频会议一直是远程工作增长的关键推动力。 从独自在家工作的人到拥有全球团队的企业,VC 实现了真正的面对面沟通。 但这是否会给企业带来新的风险呢?
我们认为VC功能是理所当然的,力求获得更好的音频,更快的图形和更好的团队合作工具,但是我们是否对安全性给予了足够的重视? 诸如FaceTime,WhatsApp和Skype之类的平台利用了诸如WebRTC之类的通用技术,那么如果黑客能够发现并利用漏洞怎么办?
在这里,我们简要介绍一下最近对漏洞进行的研究以及黑客如何利用这些漏洞。 最后,我们探讨了保护VC调用的最佳方法。
有什么风险?
对于企业VC呼叫,暴露敏感信息存在很大的潜在风险。 这可能是高管讨论财务信息或技术人员共享IP详细信息。 敏感信息就像是黑客的魔咒。 在业务之外,个人(例如,他们的Facebook或WhatsApp帐户)被黑的数据具有价值。
怎么做?
Google零项目团队的Natalie Silvanovich最近发现了可以被黑客利用的漏洞(此漏洞已被修复)。 Web实时通信(WebRTC)是一种广泛使用的开源技术,可实现实时通信。 Silvanovich在WebRTC中发现了几个漏洞,严重到足以导致崩溃或溢出错误。
黑客通常将内存堆溢出作为入侵工具。 通过在目标设备上启动溢出,黑客可以接管其帐户并拦截VC。 有两种可行的方法:
- 黑客使用流氓设备发起VC呼叫,建立对等通信并触发目标设备上的漏洞
- 使用网络钓鱼技术,可以说服目标启动VC,但是使用受黑客控制的信令服务器。 然后,黑客能够更轻松地与其恶意设备建立对等通信。
它会影响批发VoIP终止率吗?
我们已经看到电信欺诈的增加影响了运营商的收入。 语音欺诈,SMS欺诈和IPX欺诈等攻击既针对运营商,也针对使用它们的企业。 尽管我们不应该排除升级为目标运营商的情况,但我们描述的示例黑客方法会影响企业和消费者。
我们如何保护自己?
Silvanovich将这些漏洞作为错误提交,然后进行了修复。 因此,在这些特定情况下不会立即引起警报。 但是,与以往一样,保持警惕对于避免给业务运营带来风险至关重要。 以下是降低风险的三个建议:
- VC工具在可用后立即升级到最新的安全补丁。 开发人员不断修复并发布漏洞,因此保持最新状态至关重要
- 培训员工不要接听来自未知号码的VC呼叫。 来电是黑客的自然切入点
- 使用防火墙保护VC通信
如果您正在寻找安全可靠的视频会议解决方案,请尝试 Net2Phone 的 Huddle。 Huddle 支持与世界各地的人们进行安全的虚拟面对面通信。