UW–Madison ingenjörsprofessor Kassem Favaz (till vänster) och doktorand Yucheng Yang analyserade hur populära appar för videokonferenser samlar in data, och fann att åtminstone en tycks samla in allt ljud från en användares mikrofon även när den är "dämpad". Kredit:Foto bidragit av forskare
Kassem Fawaz bror var på en videokonferens med mikrofonen avstängd när han märkte att mikrofonlampan fortfarande var tänd – vilket på ett oförklarligt sätt indikerar att hans mikrofon var tillgänglig.
Upprörd bad han Fawaz, en expert på sekretess online och biträdande professor i el- och datorteknik vid University of Wisconsin–Madison, att undersöka problemet.
Fawaz och doktorand Yucheng Yang undersökte om detta fenomen med "mikrofon-släckt-ljus-på" var mer utbrett. De testade många olika videokonferensapplikationer på större operativsystem, inklusive iOS, Android, Windows och Mac, och kontrollerade om apparna fortfarande hade åtkomst till mikrofonen när den stängdes av.
"Det visar sig, i de allra flesta fall, när du tystar dig själv, ger dessa appar inte upp tillgången till mikrofonen", säger Fawaz. "Och det är ett problem. När du är avstängd förväntar folk sig inte att dessa appar samlar in data."
Efter sina första tester genomförde Fawaz och Yang, tillsammans med kollegor från Loyola University Chicago, en mer formell undersökning av vad som händer när mjukvarumikrofonerna för videokonferenser är avstängda. De kommer att presentera sina resultat på Privacy Enhancing Technologies Symposium i juli.
Först genomförde teamet en användarstudie och frågade 223 användare av videokonferensappar hur de förstår funktionen av mute-knappen och hur de tycker att den ska hantera ljuddata. Medan deltagarna var splittrade om huruvida de trodde att chattapplikationerna fick åtkomst till deras mikrofoner när de var avstängda, trodde de flesta att apparna inte borde kunna samla in data när de var inställda på tyst.
Under den andra delen av studien undersökte teamet det faktiska beteendet hos mute-knappen på många populära appar, för att avgöra vilken typ av data som samlas in och om den kunde avslöja personlig information.
De använde runtime binära analysverktyg för att spåra råljud i populära videokonferensapplikationer när ljudet gick från appen till datorns ljuddrivrutin och sedan till nätverket medan appen var avstängd.
De upptäckte att alla appar som de testade ibland samlar in rå ljuddata medan mute är aktiverat, med en populär app som samlar information och levererar data till sin server i samma takt oavsett om mikrofonen är avstängd eller inte.
Forskarna bestämde sig sedan för att se om de kunde använda data som samlats in på mute från den appen för att sluta sig till vilka typer av aktiviteter som äger rum i bakgrunden. Med hjälp av maskininlärningsalgoritmer tränade de en aktivitetsklassificerare med ljud från YouTube-videor som representerade sex vanliga bakgrundsaktiviteter, inklusive matlagning och äta, spela musik, skriva och städa. Genom att tillämpa klassificeraren på den typ av telemetripaket som appen skickade kunde teamet identifiera bakgrundsaktiviteten med i genomsnitt 82 % noggrannhet.
"När du lagar mat skiljer sig den akustiska signaturen från någon som kör bil eller tittar på en video", säger Fawaz. "Så dessa typer av aktiviteter kan särskiljas bara baserat på detta akustiska fingeravtryck som faktiskt skickades ut till molnet."
Oavsett om informationen nås eller används eller inte, väcker resultaten integritetsproblem.
"Med en kamera kan du stänga av den eller till och med lägga handen över den, och oavsett vad du gör kan ingen se dig", säger Fawaz. "Jag tror inte att det finns för mikrofoner."
Att stänga av en mikrofon är möjligt i de flesta enheters operativsystem, men det innebär vanligtvis att navigera genom flera menyer. Istället föreslår teamet att lösningen kan ligga i att utveckla lättillgängliga mjukvaru-"switchar" eller till och med hårdvaruväxlar som tillåter användare att manuellt aktivera och inaktivera sina mikrofoner.