Ao longo dos dois anos da pandemia, milhões de pessoas aprenderam a usar inúmeras ferramentas de colaboração remota. Se antes os usuários pensavam pouco sobre segurança, após a aceitação massiva de tais serviços, eles começaram a prestar muito mais atenção a isso. O interesse na segurança do software de conferência ainda não diminuiu, e pesquisadores de três universidades americanas publicaram um estudo sobre se o botão de mudo do microfone em ferramentas populares realmente faz o que diz na lata. Os resultados foram variados, mas sem dúvida sugerem que é hora de reconsiderar as atitudes em relação à privacidade durante as ligações de trabalho.
De onde veio a ideia?
Na verdade, a ideia era bastante óbvia. Se você já usou o Microsoft Teams, certamente conhece a seguinte situação: você se conecta a uma chamada no modo Mudo, esquece de desligá-la e começa a falar, e o programa lembra que o microfone está mudo. Claramente, esse recurso (reconhecidamente útil) não pode funcionar se o botão mudo desconectar completamente o microfone. Como, então, esse recurso é realmente implementado? E o som do microfone é enviado para o servidor do fornecedor da solução mesmo no modo Mudo?
Estas são algumas das questões colocadas pelos autores do estudo. Mas como verificar? Para isso, os pesquisadores analisaram os meandros da interação do microfone para dez serviços, examinando em cada caso o cenário para chamadas baseadas em navegador.
Resultados da pesquisa
Do ponto de vista da privacidade, a melhor solução para chamadas em conferência parece ser um cliente web. Todos os serviços de conferência baseados na web foram testados em um navegador baseado no mecanismo de código aberto Chromium (a base de muitos navegadores, incluindo Google Chrome e Microsoft Edge). Nesse modo, todos os serviços devem obedecer às regras de interação do microfone, definidas pelos desenvolvedores do mecanismo do navegador. Ou seja, quando o botão de mudo do microfone é ativado na interface da web, o serviço não deve captar nenhum som. Os aplicativos de desktop nativos têm mais direitos.
Os pesquisadores analisaram como e quando o aplicativo interage com o microfone comparando os dados de áudio capturados do microfone com o fluxo de informações enviado ao servidor. E eles descobriram que programas diferentes têm comportamento diferente. Aqui está o que eles aprenderam sobre os serviços mais populares.
Ampliação
O cliente Zoom fornece um exemplo de comportamento “decente”. No modo Mudo, não captura o fluxo de áudio; isto é, não escuta o que está acontecendo ao seu redor. Dito isso, o cliente solicita regularmente informações que permitem determinar o nível de ruído próximo ao microfone. Assim que o silêncio termina (você começa a falar ou apenas faz barulho), o cliente o lembra, como sempre, de desligar o modo Mudo.
Equipes da Microsoft
Em relação ao cliente nativo mencionado acima para o Microsoft Teams, as coisas são um pouco mais complicadas: o programa não usa a interface padrão do sistema para interação com o microfone e, em vez disso, se comunica diretamente com o Windows. Como tal, os pesquisadores não conseguiram investigar em detalhes como o cliente do Teams lida com o silenciamento durante uma chamada.
Cisco Webex
O cliente Cisco Webex exibiu o comportamento mais incomum. Único entre todas as soluções testadas, ele processava constantemente o som do microfone durante a chamada, independentemente do estado do botão Mudo dentro do aplicativo. No entanto, investigando o cliente com mais detalhes, os pesquisadores descobriram que o Webex não bisbilhota você: no modo Mudo, o som não é transmitido para o servidor remoto. Mas envia metadados; especificamente — o nível de volume do sinal.
À primeira vista, isso não parece grande coisa. No entanto, apenas com base nesses metadados, sem acesso ao fluxo de áudio real, os pesquisadores ainda foram capazes de determinar uma série de parâmetros básicos do que estava acontecendo no final do usuário. Por exemplo, foi possível determinar com um grau razoável de confiabilidade que o usuário desligou o microfone e a câmera e ligou o aspirador de pó. Ou cozinhar. Ou que um cachorro estava latindo. Foi possível saber se outras pessoas estavam presentes na sala (por exemplo, que a chamada vinha de um local público). Isso envolveu o uso de um algoritmo semelhante em alguns aspectos ao Shazam e outros aplicativos de descoberta de música. Para cada “amostra de ruído”, um conjunto de padrões é criado e comparado aos dados capturados do cliente Cisco Webex.
Níveis de privacidade
O estudo oferece alguns conselhos práticos e confirma um fato óbvio: você não tem controle total sobre quais dados são coletados sobre você ou como. Uma conclusão positiva do relatório é que ele não encontrou nenhum crime na operação de ferramentas populares de conferência. Muitos aplicativos têm muito cuidado quando se trata do uso do microfone.
Se, apesar desses resultados positivos, você ainda não se sentir confortável em ter um aplicativo nativo em seu computador com acesso constante ao microfone, uma solução simples, se possível, é conectar-se por meio de um cliente web. Claro, a funcionalidade será limitada, mas a privacidade aumentará: o botão Mudo realmente desconecta o microfone do serviço.
Outra opção é um botão Mute do microfone de hardware, se houver um no seu computador. Ou um fone de ouvido externo – o botão Mudo nos modelos topo de linha geralmente isola o microfone do computador fisicamente, não por meio de software.
O perigo real não são as próprias ferramentas de conferência, mas o malware que pode espionar as vítimas e enviar gravações de áudio de conversas importantes para seus criadores. Nesse caso, você precisa não apenas de uma solução de segurança que lide com programas indesejados, mas também de um meio de controlar quem acessa o microfone e quando – caso um programa legítimo decida fazê-lo sem perguntar.
