Cisco Webex Client capturado coletando telemetria de áudio quando o microfone está “mudo”

Pesquisadores da Universidade de Wisconsin-Madison e da Universidade Loyola de Chicago (EUA) examinaram (PDF) o trabalho de aplicativos clientes de serviços populares de comunicação por vídeo e descobriram que a maioria deles não desliga os microfones quando o usuário seleciona o comando apropriado – eles mantêm o acesso aos dados de áudio ou até mesmo coletam alguns dados de telemetria.

Fonte da imagem: goranmx/pixabay.com

Os autores do estudo estudaram o funcionamento dos aplicativos de videoconferência mais populares e descobriram que os botões de mudo em sua interface não desativam o microfone usando ferramentas padrão do sistema operacional – apenas versões web de clientes e aplicativos baseados em WebRTC funcionam corretamente. Em outras palavras, os botões de mudo na maioria dos aplicativos não funcionam como os usuários esperam, e os microfones continuam funcionando mesmo que os aplicativos afirmem o contrário.

Como parte do projeto, foram estudados os seguintes aplicativos: Zoom (corporativo), Slack, Microsoft Teams/Skype, Cisco Webex, Google Meet, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet e Discord. Como se viu, todos eles mantinham a capacidade de gravar som quando o microfone era desligado por meio de aplicativos, embora na maioria das vezes não o utilizassem.

A infeliz exceção foi o cliente Cisco Webex, que continuou a sondar o microfone em qualquer estado e enviou telemetria para os servidores do desenvolvedor cerca de uma vez por minuto. Esses dados continham apenas informações sobre o volume em segundo plano na sala onde o computador com os aplicativos clientes instalados estava localizado. No entanto, essa informação acabou sendo suficiente para que os cientistas construíssem seu próprio classificador e, com probabilidade de 82%, tirassem uma conclusão sobre o que está acontecendo, escolhendo entre 6 opções básicas: cozinhar, limpar, digitar etc. Além disso, ao contrário de outros aplicativos, o cliente Webex não criptografou os dados antes de serem enviados.

Um dos autores do estudo disse ao The Register que eles informaram a Cisco sobre esse fato em janeiro, e o desenvolvedor prometeu investigar. Atendendo a uma solicitação dos jornalistas, um representante da empresa disse que, nas novas versões, os dados do aplicativo quando o microfone é desligado não são mais enviados aos servidores do desenvolvedor, e o microfone é sondado apenas para informar ao usuário se está ligado ou desligado.