Videokonferenz-Apps hören zu, auch wenn das Mikrofon ausgeschaltet ist
Was passiert mit den Mikrofondaten, wenn ein Benutzer die Stummschalttaste drückt?
Dr. Kassem Fawaz ist Spezialist für Datensicherheit und Datenschutz in vernetzten Systemen. Seine Forschung wird von der amerikanischen National Science Foundation (NSF) und dem amerikanische Verteidigungsministerium gefördert.
Er berichtet, dass sein Bruder an einer Videokonferenz teilnahm, bei der das Mikrofon stummgeschaltet war, als dieser bemerkte, dass das Mikrofonlicht noch immer leuchtete – ein Zeichen dafür, dass auf sein Mikrofon zugegriffen wurde. Der Bruder war alarmiert und bat Fawaz, das Problem zu untersuchen.
Fawaz und sein Team untersuchten daraufhin, ob das Phänomen tatsächlich verbreitet ist. Sie testeten verschiedene Videokonferenzanwendungen (VCA) auf den wichtigsten Betriebssystemen, darunter iOS, Android, Windows und Mac, und überprüften, ob die Anwendungen auf das Mikrofon zugriffen, obwohl es stummgeschaltet war.
„Es stellte sich heraus, dass diese Apps in den allermeisten Fällen den Zugriff auf das Mikrofon nicht aufgeben, wenn man es stummschaltet“, sagt Fawaz. „Und das ist ein Problem. Wenn man stummgeschaltet ist, erwarten die Leute nicht, dass diese Apps Daten sammeln.“
Die Forscher befragten Nutzer, wie sie die Funktion der Stummschalttaste verstehen und wie ihrer Meinung nach Audiodaten behandelt werden sollten. Die meisten Teilnehmer waren der Meinung, dass stummgeschaltete Anwendungen nicht in der Lage sein sollten, Daten zu sammeln.
Anschließend verfolgten die Forscher mit Hilfe von Analysetools den rohen Audiofluss in gängigen VCAs von der Anwendung zum Audiotreiber des Computers und dann zum Netzwerk. Sie stellten fest, dass alle getesteten Anwendungen gelegentlich Audio-Rohdaten sammeln, obwohl die Stummschaltung aktiviert ist: Einige VCAs überwachen den Mikrofoneingang während der Stummschaltung kontinuierlich, andere tun dies in regelmäßigen Abständen. Eine App überträgt Statistiken über den Ton an ihre Telemetrieserver, unabhängig davon, ob das Mikrofon stummgeschaltet ist oder nicht.
Die Forscher beschlossen daraufhin, zu prüfen, ob sich die von der App bei Stummschaltung gesammelten Daten verwenden lassen, um auf die Art der Hintergrundaktivitäten zu schließen. Mit Hilfe des Netzwerkverkehrs, den sie auf dem Weg zum Telemetrieserver abfingen, demonstrierten sie, dass dies sehr wohl möglich ist. Sie erreichten anhand abgefangener ausgehender Telemetrie-Pakete eine Genauigkeit von knapp 82 % bei der Identifizierung von sechs häufigen Hintergrundgeräuschen (Kochen, Putzen, Tippen, Musik hören, Hundegebell, Stimmengewirr).
„Wenn man kocht, ist die akustische Signatur anders als bei jemandem, der Auto fährt oder ein Video ansieht“, sagt Fawaz. „Diese Arten von Aktivitäten lassen sich also allein anhand des akustischen Fingerabdrucks, der an die Cloud gesendet wird, unterscheiden.“
Unabhängig davon, ob auf die Daten zugegriffen wird oder nicht, werfen die Ergebnisse Bedenken hinsichtlich des Datenschutzes auf.
„Eine Kamera kann man ausschalten oder die Hand darüber halten, und egal, was man tut, niemand kann einen sehen“, sagt Fawaz. „Ich glaube nicht, dass es das bei Mikrofonen gibt.“
Das Ausschalten eines Mikrofons ist in den meisten Betriebssystemen möglich, doch muss man sich dazu normalerweise durch mehrere Menüs bewegen. Das Team schlägt vor, das Problem stattdessen mit der Entwicklung von leicht zugänglichen Software-„Schaltern“ oder sogar Hardware-Schaltern zu lösen, mit denen Benutzer ihre Mikrofone manuell aktivieren und deaktivieren können.
