Estas son las “apps” de videollamadas que transmiten datos de audio aunque silencies el micrófono

Zoom, Slack, MS Teams/Skype, Google Meet, Cisco Webex, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet, y Discord son las populares aplicaciones de videollamadas que investigadores de la Universidad de Wisconsin-Madison y la Universidad de Loyola, ambas estadounidenses, han estudiado para comprobar cómo se comporta la función de silenciar el micrófono y si con ella las “apps” dejan de acceder al mismo y de transmitir datos de audio del usuario. Kassem Fawaz y Yucheng Yang encontraron que el “mute” no funciona de la forma que la mayoría de los usuarios espera y que las aplicaciones continúan escuchando aunque esté activado.

El estudio, que se inició después de que el hermano de Fawaz notara en una videollamada como la luz del micrófono continuaba encendida después de que fuera silenciado, aborda tanto el comportamiento de las aplicaciones como las percepciones de los usuarios sobre el funcionamiento de “mute”.   De entre los 223 usuarios de aplicaciones de videollamadas encuestados, un 77,5% encontraron “inaceptable” que las aplicaciones continuaran accediendo al micrófono tras silenciarlo.

Fawaz y Yang realizaron un análisis binario completo de las aplicaciones mencionadas mientras se ejecutaban para determinar que tipo de datos recoge cada una y si esos datos constituyen un riesgo para la privacidad, según informa Bleeping Computer. Para poder determinar que cambios se producen al activar “mute”, rastrearon el audio sin procesartransmitido desde las aplicaciones al controlador de audio del sistema operativo del dispositivo y a la Red.

Por qué es mejor usar la versión web de un servicio de videollamadas en lugar de la “app”

El principal descubrimiento es que prácticamente todas las aplicaciones recogían datos de audio, de forma ocasional o continua, con el micrófono silenciado. Sin embargo, esto no sucedía al usar la versión web en lugar de la “app” dedicada. En otras palabras, realizar una videollamada a través de, por ejemplo, Zoom abierto en el navegador otorga una mayor privacidad a los usuarios que si se hace a través de la aplicación instalada en el dispositivo.

La razón reside en cómo gestiona el audio el navegador. La versión web de un servicio de videollamadas depende del navegador para que medie en sus interacciones con el sistema operativo y el “hardware” del dispositivo y debe emplear una API llamada WebRTC que, entre otras cosas, controla el acceso al micrófono. La información transferida por WebRTC está sujeta a los controles y políticas del navegador y los investigadores encontraron que usando tanto la opción de silenciar del navegador como la que pueda mostrar un determinado servicio a través de WebRTC deshabilita todas las transferencias de audio desde el micrófono. Por lo tanto, siempre será mejor opción usar un servicio de los citados en su versión web que en su “app” dedicada.

Las “apps” continúan rastreando si el usuario está hablando con el “mute” activado

Los investigadores han comprobado que la mayoría de “apps” tienen un comportamiento similar. Zoom, Slack, Google Meet, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet, y Discord continúan accediendo al micrófono mientras está silenciado para comprobar su status. Éste puede ser “silent” (silenciado), “data discontinuity” (discontinuidad de datos) o “timestamp error” (error de marca de tiempo).

Aquí Fawaz y Yang asumen que las “apps” están interesadas solo en el primero para saber si el usuario está hablando con el “mute” activado y este es el motivo por el que continúan accediendo al micrófono cuando está silenciado. En cualquier caso, no encontraron evidencia de que datos de audio sin procesar estuvieran siendo accedidos a través de la API del sistema operativo.

Distinto es el caso de MS Teams y Skype, cuya actividad es más difícil de rastrear debido que no intermedian con una API sino que se comunican directamente con el sistema operativo. Dado que el interfaz del sistema de llamadas de Windows no está documentado, no pudieron comprobar como Teams y Skype usan los datos del micrófono cuando está silenciado.

El caso de Cisco Webex

Pero el más grave es el de Cisco Webex, aplicación que con el micrófono en “mute” continúa recibiendo datos de audio del usuario y transmitiéndolos a sus servidores. “Descubrimos que mientras está silenciado, Webex lee continuamente datos de audio del micrófono y transmite estadísticas de esos datos una vez por minuto a sus servidores de telemetría. Usando herramientas de análisis binario en tiempo de ejecución, interceptamos copias sin cifrar de los datos de telemetría antes de que se transmitieran”, señala el estudio.

¿Qué importancia tiene esa información? Los investigadores fueron capaces de identificar con una precisión del 81,9%, usando un algoritmo clasificador de aprendizaje automático, seis actividades comunes a través de los datos de telemetría interceptados: teclear, ladridos de perros, conversaciones de gente, cocinar, limpiar y música clásica.

Fawaz y Yang informaron a Cisco Webex del potencial problema de privacidad que representaba el comportamiento de la aplicación con el micrófono silenciado y, según ha indicado Cisco Webex a Bleeping Computer, en enero modificaron la aplicación para que no transmitiera más datos de telemetría del micrófono.