Все не так с конфиденциальностью и безопасностью Zoom

В наши дни история взлома пользовательских данных довольно модна, и за последние несколько месяцев она чаще, чем когда-либо, появлялась в заголовках. От Facebook до TikTok, у всех были лазейки в их безопасности, которые были взломаны, и пострадали миллионы и миллионы пользователей. Недавно было обнаружено несколько недостатков конфиденциальности и безопасности в Zoom (служба видеоконференций) , которых слишком много, чтобы сосчитать.

Поскольку все мы проводим время на карантине дома из-за вспышки нового коронавируса , использование приложения для видеоконференций Zoom стало необходимостью. Общее количество активных пользователей Zoom увеличилось в геометрической прогрессии из-за работы из дома благодаря COVID-19 .

Недостатки приложения для видеоконференций Zoom

Каждое приложение, которое мы используем в настоящее время, ставит нас в положение, в котором мы можем оказаться жертвой кибератаки. Из-за недостатков безопасности и конфиденциальности хакеры могут проникнуть через лазейки и завладеть вашей конфиденциальной информацией.

На прошлой неделе Zoom получил несколько сообщений о недостатках конфиденциальности и безопасности, из-за которых многие организации запретили приложение. За последний месяц количество активных пользователей компании увеличилось более чем на 535% из-за пандемии коронавируса, и я считаю, что где-то в пути выбор был неверным.

Поскольку почти все начали использовать Zoom для видеоконференций (работы из дома), сейчас многие из них сделали шаг назад.

Непрерывное увеличение масштабов бомбометания

30 марта ФБР предупредило общественность об участившихся случаях Zoom Bombing, когда ваша видеоконференция может быть нарушена порнографическими и/или ненавистническими изображениями и угрожающими выражениями. Это был случай захвата функции видео-телеконференций в Zoom, которая достигла такого уровня, что пользователи начали чувствовать себя небезопасно, используя ее.

Я считаю, что причина может заключаться в том, что к собраниям Zoom можно получить доступ по коротким URL-адресам, которые являются чашкой чая для хакеров. Компания Zoom выпустила рекомендации по предотвращению захвата ваших видеособытий нежелательными гостями.

Сквозное шифрование

Каждый сервис, который позволяет пользователям обмениваться сообщениями с помощью текстовых сообщений, снимков, видеоклипов или любого другого режима, должен иметь сквозное шифрование . Период! Сквозные зашифрованные сообщения или видеоклипы могут быть прочитаны только отправителем и получателем. Для всех остальных это просто случайная структура кода, которая не будет иметь для них смысла. Везде Zoom заявлял о том, что его функция видеовстреч зашифрована сквозным шифрованием, однако на самом деле это не так.

Zoom повсюду говорит — в своем приложении, на веб-сайте, в официальном документе по безопасности — что его видеозвонки «зашифрованы сквозным шифрованием», но когда @theintercept спросил их об этом, они сказали:

«В настоящее время невозможно включить шифрование E2E для видеоконференций Zoom». https://t.co/4e0oPg2tta

— Тревор Тимм (@trevortimm) 31 марта 2020 г.

Недавно, когда его спросили о шифровании E2E с помощью Intercept , Zoom заявил: «В настоящее время невозможно включить шифрование E2E для видеоконференций Zoom».

Микроуправление с помощью наблюдения в приложении

Единственное худшее, что может сделать работодатель или учитель, — это микроуправлять сотрудниками или учениками. Ощущение такое, будто кто-то наблюдает за вами каждую секунду вашего дня, и это не меньше, чем преследование.

Точно так же в Zoom есть функция под названием « отслеживание внимания », которая точно определяет пользователя, который отсутствовал в активных окнах Zoom в течение 30 секунд и более.

В то время как работодателям или учителям очень удобно следить за сотрудниками / студентами, это также касается конфиденциальности.

Вот почему со 2 апреля 2020 года функция отслеживания внимания была удалена из приложения Zoom.

Коммерциализация пользовательских данных

Коммерциализация конфиденциальных данных пользователя не является чем-то новым, что мы слышим в наши дни. Предыдущие инциденты предусматривали, что приложения социальных сетей собирают наши данные и перепродают их какой-либо другой организации. И что поразительно, Facebook прямо или косвенно связан с этим.

Было замечено, что Zoom отправляет данные пользователей iOS в Facebook для перепродажи, даже если у вас нет учетной записи Facebook. Очевидно, что компания будет отрицать что-либо подобное, однако один из пользователей подает в суд на Zoom, который не может защитить личную информацию миллионов пользователей на своей платформе.

Компания внесла изменения в свою политику конфиденциальности после инцидента, которые можно проверить здесь.

Другие недостатки безопасности с Zoom

Помимо вышеперечисленного, которые были обнаружены недавно, в Zoom уже существуют другие недостатки. Несколько месяцев назад было обнаружено, что Zoom незаметно установил на пользовательские устройства веб-сервер, который мог добавить пользователя к любому звонку без его/ее разрешения. И последняя ошибка связана с тем, что хакеры получают контроль над Mac пользователя, включая веб-камеру и микрофон.

Вы когда-нибудь задумывались, как установщик macOS @zoom_us выполняет свою работу, даже если вы даже не нажимаете «Установить»? Оказывается, они (ab) используют сценарии предварительной установки, вручную распаковывают приложение с помощью комплектного 7zip и устанавливают его в /Applications, если текущий пользователь находится в группе администраторов (рут не требуется). pic.twitter.com/qgQ1XdU11M

— Феликс (@c1truz_) 30 марта 2020 г.

Между прочим: «личные» сообщения, отправленные отдельным людям во время собрания Zoom, отображаются в стенограмме конца собрания вместе со всеми другими общедоступными сообщениями.

Расскажи друзьям, спаси жизнь.

– Кристиан Мориарти (@MoriartyCR) 3 апреля 2020 г.

Итак, давайте просто согласимся с тем, что Zoom — это вредоносное ПО, и оно постоянно терпит неудачу в обеспечении безопасности и конфиденциальности пользователей. Делая жизнь пользователей более опасной на платформе, Zoom не может поддерживать уровень безопасности на должном уровне.

Zoom Executive о проблемах и дальнейшем плане действий

«Мы признаем, что не оправдали ожиданий сообщества — и наших собственных — конфиденциальности и безопасности», — написал Юань, пояснив, что Zoom был разработан для крупных предприятий со штатными ИТ-специалистами, которые могут настраивать и запускать программное обеспечение. Zoom будет «действительно немедленно заморозить функции и перенаправить все наши инженерные ресурсы, чтобы сосредоточиться на наших самых больших проблемах доверия, безопасности и конфиденциальности». – Эрик С. Юань (генеральный директор и основатель Zoom)

Подведение итогов

Zoom стал одним из самых необходимых приложений в период карантина из-за вспышки COVID-19. Огромное увеличение числа пользователей, безусловно, помогло Zoom увеличить доход. Однако они не вернулись прежними. Постоянные взломы и недостатки безопасности не смогли обеспечить безопасность данных пользователя, как ожидалось.

На данный момент следите за использованием приложений для видеоконференций Zoom, поскольку вы можете стать жертвой потери данных через приложение.

Читать далее:

Лучшие альтернативы Zoom для удаленных встреч/видеоконференций

Как поделиться экраном на Zoom

Как сделать экранную запись Zoom Meeting со звуком