Studie: Ciscos Webex telefoniert auch stummgeschaltet nach Hause

Wer sich in einer Videokonferenzsoftware stumm schaltet, verhindert damit nicht unbedingt die Aufnahme oder Analyse von Audiodaten. Das haben Forscher der Loyola-Universität Chicago sowie der Universität Wisconsin-Madison herausgefunden. Untersucht wurden die Software von Zoom, Slack, Microsoft Teams/Skype, Google Meet, Cisco Webex, Bluejeans, Whereby, Gotomeeting, Jitsi und Discord.

Dabei untersuchten die Forscher, ob die Anwendungen auch im stummgeschalteten Zustand Daten aus dem Mikrofon auslesen und ob diese über das Internet an den jeweiligen Anbieter der Software übertragen werden. Dabei fanden sie heraus, dass alle Anwendungen gelegentlich Audiodaten erhoben, auch wenn sie stummgeschaltet waren. Nur bei den Webclients, die über den Browser aufgerufen wurden, war dies nicht der Fall, da sie die Stummschaltefunktion von WebRTC im Browser nutzen.

"Wir stellen fest, dass die Richtlinien für den Umgang mit Mikrofondaten bei den Videokonferenzsoftwares uneinheitlich sind - einige überwachen den Mikrofoneingang während der Stummschaltung kontinuierlich, andere tun dies in regelmäßigen Abständen", heißt es in der Studie (PDF). Dabei fiel den Forschern vor allem Cisco Webex negativ auf, das sowohl unter Windows als auch unter MacOS in regelmäßigen Abständen Statistiken über die Audiodaten an ihre Telemetrieserver schickt - unabhängig davon, ob die Stummschaltetaste gedrückt wurde oder nicht.

Telemetriedaten verraten Hintergrundaktivitäten

Dabei werden zwar nicht die Audiodaten selbst übertragen, sondern Informationen über die Hintergrundlautstärke. Aus den übermittelten Telemetriedaten ist es jedoch möglich, Rückschlüsse auf die ursprünglichen Audiosignale zu ziehen. So konnten die Forscher mit einem Proof-of-Concept-Klassifikator mit einer über 80-prozentigen Genauigkeit eine von sechs häufigen Hintergrundaktivitäten wie Kochen, Putzen oder Tippen identifizieren.

Das Verhalten stimme nicht mit der Datenschutzrichtlinie von Cisco überein, in der betont wird, dass die Software "weder den Datenverkehr noch den Inhalt von Meetings überwacht oder stört". Die Studie kritisiert zudem die Sicherheit von Ciscos Videokonferenzsoftware: "Nur in Webex waren wir in der Lage, Klartext abzufangen, unmittelbar bevor er an die Windows-Netzwerksocket-API weitergeleitet wird", heißt es in der Studie. Alle anderen Anwendungen hätten die Daten verschlüsselt übertragen.

"Wir haben Cisco bereits im Januar über unsere Erkenntnisse informiert und sie haben versprochen, dies zu untersuchen", sagte Kassem Fawaz, Assistenzprofessor für Elektro- und Computertechnik an der Universität Wisconsin-Madison, dem Onlinemagazin The Register. "Webex verwendet Mikrofon-Telemetriedaten, um einem Benutzer mitzuteilen, dass er stummgeschaltet ist, was als 'Stummschaltungsbenachrichtigung' bezeichnet wird", erklärte Cisco. Es handle sich daher nicht um eine Schwachstelle in Webex.

Erst Anfang des Jahres entdeckten Wissenschaftler, dass die Videokonferenzsoftware Zoom unter MacOS auch nach einem beendeten Call weiter auf das Mikrofon zugriff. Dass der Einsatz von Videokonferenzsystemen aus den USA rechtlich schwierig ist, hatten die Datenschutzbeauftragten bereits im Jahr 2020 festgehalten. Bei einer kürzlich durchgeführten Prüfung der Videokonferenzsoftware an der Freien Universität Berlin (FU) durch die Berliner Datenschutzbeauftragten fiel Cisco Webex entsprechend durch. Der Einsatz der Software sei rechtswidrig, so das Fazit der Datenschutzbehörde.