Изследователи от Университета на Уисконсин-Медисън и Университета Лойола в Чикаго (САЩ) са проучили клиентските приложения на популярни услуги за видеоконференции и са установили, че повечето от тях всъщност не изключват микрофоните, когато потребителят избере съответната команда. Те запазват достъпа до аудио данни или дори събират някои телеметрични данни.
Авторите на проучването са изследвали най-популярните приложения за видеоконференции и са установили, че бутоните за изключване на звука в интерфейса им не деактивират микрофона с нормалните средства на операционните системи. Само уеб базираните клиенти и WebRTC базираните приложения работят правилно. С други думи, бутоните за заглушаване на звука в повечето приложения не функционират според очакванията на потребителите, а микрофоните всъщност продължават да работят, въпреки че в приложенията се твърди друго.
В рамките на проекта са разгледани Zoom, Slack, Microsoft Teams/Skype, Cisco Webex, Google Meet, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet и Discord. Оказва се, че всички те са запазили възможността да записват звук с изключен от приложението микрофон, въпреки че повечето от тях не са я използвали.
Изключение е клиентът на Cisco Webex, който продължава да получава информация от микрофона във всяко състояние и да изпраща телеметрични данни до сървърите на разработчика приблизително веднъж на минута. Тези данни съдържат само информация за силата на звука в стаята, в която се намираше компютърът с клиентското приложение.
Въпреки това информацията е достатъчна с 82% вероятност да се разбере какво се случва, избирайки от 6 основни опции: готвене, почистване, писане и т.н. Нещо повече, за разлика от други приложения, клиентът на Webex изобщо не криптира данните, преди да бъдат изпратени.
Един от авторите на проучването заяви пред The Register, че е информирал Cisco за този факт още през януари и разработчикът е обещал да проведе разследване. В отговор на запитване на репортер говорител заявил, че в новите версии данните от приложението, когато микрофонът е изключен, вече не се изпращат към сървърите на разработчика, а микрофонът се активира, само за да информира потребителя дали е включен или изключен.