Чем рискуют пользователи мега-популярного Zoom

466
Pixabay.com

Популярность сервиса для организации видеоконференций Zoom благодаря коронавирусу взлетела ракетой. Но, судя по длинному списку претензий к нему, он не идеален.

Как сообщает российский Forbes, за последний год (во многом благодря массовому переходу на “удаленку” из-за коронавируса) сервис интернет-видеоконференций Zoom нарастил свою капитализацию на NASDAQ на 127% — до 41,6 млрд долларов. В России же трафик Zoom за последние две недели вырос в 8 раз, намного опередив по этому показателю Skype, Cisco AnyConnect и Discord.

Но, отмечает издание, у пользователей возникали и продолжают возникать претензии к безопасности этого сервиса, из-за чего от него недавно отказались SpaceX, Apple, Google, NASA, Пентагон и Сенат США.

Forbes перечисляет некоторые из претензий.

Передача данных Facebook

В конце марта стало известно, что данные пользователей iOS-версии приложения Zoom передаются социальной сети, даже если у пользователя нет в ней учетной записи. Zoom делился с интернет-гигантом информацией о модели телефона, часовом поясе, городе, операторе связи и уникальном рекламном идентификаторе устройства, что можно использовать для таргетирования рекламы.

Компания выпустила обновление и объявила об удалении кода, из-за которого возникла утечка. Но это не спасло ее от иска о нарушении конфиденциальности, который был подан в суд Калифорнии.

Шифрование видео

В марте же издание Intercept сообщило, что Zoom использует не сквозное шифрование (между пользователем и пользователем) для передачи видео и аудио, которое считается наиболее защищенным в интернете, а TLS-шифрование (между пользователем и сервером). Из-за чего Zoom имеет доступ к незашифрованному видео- и аудиоконтенту конференций и теоретически может шпионить за пользователями и по запросу передавать файлы в правоохранительные органы по запросу, пишет издание. На что разработчик отметил, что текстовые чаты зашифрованы сквозным методом и что сама компания не имеет доступа к ключам сессий и не может расшифровать сообщения, которыми обмениваются пользователи.

Прослушка вызовов

В январе компания Check Point заявила о “дыре”, с помощью которой настойчивый злоумышленник мог прослушивать вызовы, получать доступ к аудио- и видеофайлам и документам пользователей в чатах. Смысл в том, что идентификационные номера конференций Zoom состоят из 9-11 знаков и хакер, зная об этом, мог предварительно создать список идентификаторов, а затем проверить, действителен ли каждый из них. Если комбинация оказалась верной, а конференция не была защищена паролем, злоумышленник мог получить к ней доступ.  Правда, эта проблема, как утверждается, устранена: для подключения к сессии теперь использование пароля обязательно и после нескольких попыток подключиться к ней устройство хакера будет «забанено» платформой.

Незнакомцы стали друзьями

Издание Motherboard сообщало о раскрытии данных – email-адресах, именах, фотографиях и статусах профиля – тысяч пользователей. Проблема была связана с настройкой «Каталог компании» (Company Directory) Zoom. Из-за нее люди с email-адресами в одном домене воспринимаются программой как сотрудники одной компании и автоматически добавляются друг к другу в контакты. В случае, если это происходит внутри компании с собственным доменом, это может быть удобно. Проблема в том, что это происходило и с некоторыми региональными доменами вроде yandex.kz (Yandex в Казахстане), yandex.by (в Белоруссии) и др.

Кроме того, популярность Zoom привлекла злоумышленников, которые ищут ссылки на конференции, которые пользователи сами размещают в открытом доступе, подключаются к ним и запускают в эфир видеозаписи с насилием или порнографией. Просто чтобы “потроллить”. Явление уже получило название Zoombombing.

На эти и другие претензии в самом Zoom отвечают, что изначально сервис видеоконференций ориентировался на корпоративных клиентов с полноценной ИТ-поддержкой и, собственно, их обслуживал. Компания оказалась не готова к тому, что за несколько недель число людей на “удаленке” вырастет в разы. Приведенные компанией цифры наглядно демонстрируют взрывной рост числа клиентов: в конце декабря 2019 года Zoom использовали 10 млн человек, в марте 2020 года — более 200 млн. Zoom обещает уделять больше внимания кибербезопасности и уже обратилась за дополнительной помощью к компании Luta Security. Кроме того, Zoom готова платить всем желающим за найденные уязвимости.

Более подробный список «дыр» Zoom и об альтернативах читайте здесь.

Подпишитесь на наши каналы в Фейсбуке и Telegram!