Mikrofonunuz gerçekten kapalı mı?

Telekonferans hizmetlerindeki mikrofonu sessize alma düğmesinin gerçekte nasıl çalıştığına dair ilginç bir araştırmadan alıntılarla web konferans çağında gizliliği tartışıyoruz.

İki yıllık pandemi boyunca milyonlarca insan çok sayıda uzaktan işbirliği aracı kullanmayı öğrendi. Öncesinde kullanıcılar güvenlik hakkında pek kafa yormamış olsalar bile, bu tür hizmetlerin geniş çapta kullanılmaya başlamasının ardından buna çok daha fazla dikkat etmeye başladılar. Konferans yazılımlarının güvenliğine duyulan ilgi sürerken ABD’deki üç farklı üniversitesinden araştırmacılar, popüler araçlardaki mikrofon sesini kapatma düğmesinin aslında vadettiklerini yapıp yapmadığına dair bir çalışma yayınladı. Sonuçlar değişiklik gösterse de kesinlikle iş görüşmeleri sırasında mahremiyete yönelik tutumları yeniden gözden geçirme zamanının geldiğini gösteriyor.

Fikir nereden geldi?

Aslında fikir oldukça açıktı. Microsoft Teams’i daha önce kullandıysanız kesinlikle yaşamışsınızdır: Mikrofon kapalı olarak bir aramaya bağlanırsınız, mikrofonu açmayı unutur ve konuşmaya başlarsınız, bunun üzerine program size mikrofonun sesinin kapalı olduğunu hatırlatır. Buradan şunu net olarak anlıyoruz: Mikrofonu kapatma düğmesi mikrofonun bağlantısını tamamen kesseydi böyle (kuşkusuz kullanışlı) bir özellik çalışamazdı. Peki, bu özellik nasıl çalışabiliyor? Mikrofondan gelen ses, mikrofonu kapatma düğmesine basıldıktan sonra bile çözüm satıcısının sunucusuna gönderiliyor mu?

Bunlar, çalışmanın yazarları tarafından sorulan sorulardan bazıları. Peki, bu nasıl kontrol edilebilir? Bunun için araştırmacılar, on servisin mikrofon etkileşimlerindeki incelikleri analiz etti. Hepsi için tarayıcı tabanlı görüşmeleri esas aldılar.

Araştırma sonuçları

Gizlilik açısından, konferans aramaları için en iyi çözüm bir web istemcisi gibi görünüyor. Tüm web tabanlı konferans hizmetleri, (Google Chrome ve Microsoft Edge dahil olmak üzere birçok tarayıcının temeli olan) açık kaynaklı Chromium motoruna dayalı bir tarayıcıda test edildi. Bu modda tüm hizmetlerin tarayıcı motorunun geliştiricileri tarafından belirlenen mikrofon etkileşimi kurallarına uyması gerekir. Yani, web arayüzünde mikrofonu sessize alma düğmesi etkinleştirildiğinde, hizmet hiç ses almamalıdır. Yerel masaüstü uygulamaları daha fazla hakka sahiptir.

Yerel konferans uygulaması ile işletim sistemi arasındaki genel etkileşim şeması (bu örnekte Windows 10)Kaynak

 

Araştırmacılar mikrofondan alınan ses verilerini sunucuya gönderilen bilgi akışıyla karşılaştırarak uygulamanın mikrofonla nasıl ve ne zaman etkileşime girdiğini analiz etti. Bunun sonucunda farklı programların farklı davranışları olduğunu buldular. İşte en popüler hizmetler hakkında öğrendikleri.

Zoom

Zoom istemcisi “düzgün” davranan bir örnek. Mikrofon kapalıyken ses akışını almıyor; yani, çevrenizde olup bitenlere kulak misafiri olmuyor. Bununla birlikte istemci düzenli olarak mikrofonun yakınındaki gürültü seviyesini belirlemesine izin veren bilgiler istiyor. Sessizlik biter bitmez (konuşmaya başlarsınız veya sadece bir ses çıkarırsınız), istemci size her zamanki gibi mikrofonunuzu açmanızı hatırlatıyor.

Microsoft Teams

Yukarıda bahsedilen yerel istemci ile ilgili Microsoft Temas’de işler biraz daha karmaşık: Program mikrofon etkileşimi için standart sistem arayüzünü kullanmıyor, bunun yerine doğrudan Windows ile iletişim kuruyor. Bu nedenle araştırmacılar Teams istemcisinin görüşme sırasında mikrofonu kapatma işlemini nasıl ele aldığını ayrıntılı olarak araştıramadı.

Cisco Webex

Cisco Webex istemcisi en olağandışı davranışı sergiledi. Test edilen tüm çözümlerden farklı davranan uygulama, içindeki mikrofonu sessize alma düğmesinin durumundan bağımsız olarak, görüşme sırasında mikrofondan gelen sesi sürekli olarak işliyor. Öte yandan, istemciyi daha ayrıntılı olarak inceleyen araştırmacılar, Webex’in sizi gözetlemediğini keşfetti: Mikrofon kapalıyken ses uzak sunucuya iletilmiyor. Ancak meta veriler gönderiliyor; özellikle de sinyalin ses seviyesi.

İlk bakışta bu önemli bir şey gibi görünmüyor. Fakat araştırmacılar, gerçek ses akışına erişim olmaksızın yalnızca bu meta verilere dayanarak son kullanıcı tarafında neler olup bittiğine dair bir dizi temel parametreyi belirlemeyi yine de başardı. Örneğin, kullanıcının önemli bir iş görüşmesine bağlı olduğunu, mikrofonu ve kamerayı kapattığını ve daireyi süpürdüğünü makul bir güvenilirlik derecesi ile belirlemek mümkündü. Ya da yemek pişirdiğini. Ya da bir köpeğin havladığını. Odada başkalarının olup olmadığını bilmek mümkündü (örneğin, aramanın halka açık bir yerden yapılıp yapılmadığını). Bu, bazı yönlerden Shazam ve diğer müzik keşif uygulamalarına benzer bir algoritmanın kullanımını içeriyordu. Her “gürültü örneği” için oluşturulan bir dizi desen, Cisco Webex istemcisinden alınan verilerle karşılaştırılıyordu.

Gizlilik düzeyleri

Çalışma bazı pratik tavsiyeler sunuyor ve bariz bir gerçeği doğruluyor: Hakkınızda hangi verilerin nasıl toplandığı üzerinde tam olarak kontrolünüz yok. Rapordan alınan olumlu bir sonuç, popüler konferans araçlarının işleyişinde suç teşkil eden herhangi bir durum bulunmadığı. Mikrofon kullanımı söz konusu olduğunda birçok uygulama çok dikkatli davranıyor.

Bu olumlu sonuçlara rağmen, bilgisayarınızda mikrofona sürekli erişime sahip yerel bir uygulamaya sahip olmaktan hala rahatsızsanız, mümkünse bir web istemcisi aracılığıyla bağlanmak basit bir çözüm olabilir. Elbette işlevsellik sınırlı olacak, ancak gizlilik artacaktır: Buradaki mikrofonu sessize alma düğmesi, mikrofonun hizmetle bağlantısını gerçekten kesiyor.

Başka bir seçenek, bilgisayarınızda varsa, donanım mikrofonunu sessize alma düğmesini kullanmak olabilir. Veya harici bir kulaklık. Sınıfının en iyisi modellerdeki sessize alma düğmesi mikrofonu yazılım yoluyla değil, genellikle bilgisayardan fiziksel olarak yalıtır.

Gerçek tehlike konferans araçlarının kendileri değil, kurbanları gözetleyebilen ve önemli konuşmaların ses kayıtlarını yaratıcılarına gönderebilen kötü amaçlı yazılımlardır. Bu durumda yalnızca istenmeyen programlarla ilgilenen bir güvenlik çözümüne değil, aynı zamanda meşru bir programın sormadan mikrofonu kullanmaya karar vermesi durumunda mikrofona kimin, ne zaman erişeceğini kontrol etmenizi sağlayan bir araca ihtiyacınız vardır. Kaspersky’nin hem ev hem de iş çözümleri, yazılım mikrofona veya web kamerasına erişmeye çalıştığında sizi bilgilendiren ayrı bir işleve sahiptir.

İpuçları