Você acha que o botão de silêncio mantém você seguro em videochamadas?

Você esteve recentemente em uma videoconferência, pressionou o botão “mudo” e depois fez alguns comentários desagradáveis sobre um cliente ou um colega – ou até mesmo o chefe?

Ou talvez em uma sala de conferências com colegas – mudo – e apontou que alguma ação proposta violaria os termos de uma aquisição secreta em seus estágios finais?

Se você estava confortável que o botão mudo estava protegendo ativamente seu segredo, você não deveria estar.

Graças a algumas experimentações e pesquisas impressionantes de um grupo de acadêmicos da Universidade de Wisconsin-Madison e da Universidade Loyola de Chicago, as declarações feitas enquanto o aplicativo está mudo ainda são capturadas e salvas na RAM.

Em um nível, isso é algo que todos nós já sabíamos. Quando um usuário é silenciado e diz algo, a maioria dos aplicativos de videoconferência exibe uma nota alertando o usuário de que ele está falando com o som silenciado. Como poderia dizer isso se não estivesse ouvindo enquanto o botão mudo está ligado?

Assim como a Siri, da Apple, ou a Alexa, da Amazon, estão sempre ouvindo uma palavra de comando, os aplicativos “silenciados” também estão.

A verdadeira questão é se esses enunciados capturados correm um risco significativo de serem acessados por um invasor ou um insider. Primeiro, qualquer coisa salva na memória volátil é perdida – teoricamente – no instante em que a máquina é reiniciada ou desligada. Portanto, estamos olhando para a exposição após o enunciado ser feito e antes que a máquina reinicie. Dependendo do comportamento do usuário, esse prazo pode ser de algumas horas, alguns dias – possivelmente várias semanas.

Geralmente, roubar dados da memória volátil é difícil, mas não impossível. Como os autores do relatório disseram em uma entrevista em grupo, se um bandido entrar na memória volátil, o usuário e a empresa terão preocupações muito maiores do que algumas declarações salvas durante um mudo. Ainda assim, pode acontecer.

O problema do mudo é baseado apenas no aplicativo e em como ele lida com esses dados.

Um dos principais autores do relatório é Kassem Fawaz, Professor Assistente do Departamento de Engenharia Elétrica e de Computação da Universidade de Wisconsin-Madison, que também é afiliado ao Departamento de Ciências da Computação de Wisconsin.

“As principais implicações têm a ver com a confiança inerente que os usuários estão depositando nesses aplicativos de videoconferência”, disse Fawaz. “Não encontramos evidências de áudio saindo dos dispositivos do usuário. A única exceção foram os dados de telemetria saindo do Cisco Webex, que foram corrigidos (…). No entanto, mesmo quando o usuário pressiona o botão mudo, o aplicativo ainda tem acesso ao fluxo de áudio e o usuário confia no bom comportamento do aplicativo. A outra implicação é que a funcionalidade de mudo – semelhante a desligar a câmera – não deve ser deixada para o aplicativo, mas deve ser controlada pelo sistema operacional ou controlada pelo hardware”.

O ponto de Fawaz sobre a câmera é que a equipe descobriu que um botão de “desligar” da câmera realmente impedia que qualquer vídeo fosse capturado de alguma forma. Não tanto com áudio. Às vezes, o navegador pode fazer a diferença.

“No Chrome, mudo significa mudo”, disse Fawaz. “Não podemos falar sobre Safari ou Firefox”.

O relatório da universidade foi principalmente sobre a confiança nos criadores de aplicativos. Se os fornecedores estiverem agindo com honra e respeitando os problemas de privacidade, segurança cibernética e conformidade de segurança, o risco será mínimo. Se eles não agirem dessa forma, usuários e empresas podem ter problemas.

O relatório não tirou conclusões sobre como os criadores de aplicativos estavam se comportando, mas apenas enfatizou que cada um pode seguir sua própria direção.

Dito isto, as regras de sigilo e até mesmo as regras de ser uma boa pessoa devem se aplicar aqui. Com o cenário de aquisição iminente, se você não tiver permissão para discutir certos detalhes, não os diga na frente de um microfone com pessoas de fora, independentemente do que a alternância de mudo exibe. Quanto a ser legal, que tal não fazer comentários desagradáveis sobre seus colegas ou clientes?

A regra fundamental de e-mail e segurança/conformidade é: “Antes de digitar um e-mail/mensagem, imagine-se testemunhando em um tribunal aberto. Se isso te deixa desconfortável, não digite”. Não é um grande salto estender essa regra para falar algo na frente de um microfone.

Por exemplo, eu uso um Apple Watch. Várias vezes durante um dia típico, ele dirá em voz alta “Eu não entendi isso” ou “Aqui está o que encontrei sobre esse tópico”. Embora seja altamente irritante e frustrante, é um lembrete eficaz de que preciso tirar o relógio antes de dizer qualquer coisa que não quero que o mundo saiba.

Você precisa ter em mente a mesma coisa ao usar um dispositivo móvel ou um dispositivo desktop – especialmente ao usar um aplicativo de videoconferência.