ทุกสิ่งผิดปกติด้วยความเป็นส่วนตัวและความปลอดภัย Zoom
เผยแพร่แล้ว: 2020-04-09ประวัติการละเมิดข้อมูลผู้ใช้ค่อนข้างทันสมัยในทุกวันนี้ ทำให้พาดหัวข่าวบ่อยกว่าที่เคยในช่วงสองสามเดือนที่ผ่านมา ตั้งแต่ Facebook ไปจนถึง TikTok ทุกคนต่างก็มีช่องโหว่ในการรักษาความปลอดภัยที่โดนละเมิด & ผู้ใช้หลายล้านและหลายล้านคนได้รับผลกระทบ เมื่อเร็ว ๆ นี้ ข้อบกพร่องด้านความเป็นส่วนตัวและความปลอดภัยหลายประการบน Zoom (บริการการประชุมทางวิดีโอ) ถูกเปิดเผยซึ่งมีจำนวนมากเกินกว่าจะนับได้
เนื่องจากเราทุกคนใช้เวลา กักตัว อยู่ที่บ้านเนื่องจากการ ระบาดของไวรัส โคโรน่า การใช้ แอปการประชุมทางวิดีโอ Zoom จึงกลายเป็นสิ่งจำเป็น จำนวนผู้ใช้ที่ใช้งานอยู่ทั้งหมดเพิ่มขึ้นอย่างมากใน Zoom เนื่องจากต้องทำงานจากที่บ้าน เนื่องด้วย สถานการณ์โควิด-19
ข้อบกพร่องด้วยแอปการประชุมทางวิดีโอซูม
ทุกแอพที่เราใช้ทุกวันนี้ เราอยู่ในสถานะที่อาจทำให้เราตกเป็นเหยื่อของการโจมตีทางไซเบอร์ เนื่องจากข้อบกพร่องด้านความปลอดภัยและความเป็นส่วนตัว แฮ็กเกอร์จึงสามารถเจาะผ่านช่องโหว่และรับข้อมูลที่เป็นความลับของคุณได้
Zoom ได้ประสบกับรายงานหลายฉบับเมื่อสัปดาห์ที่แล้วเกี่ยวกับข้อบกพร่องด้านความเป็นส่วนตัวและความปลอดภัยที่ทำให้หลายหน่วยงานแบนแอป ในเดือนที่ผ่านมา บริษัทพบว่ามีผู้ใช้งานเพิ่มขึ้นมากกว่า 535% เนื่องจากการระบาดของไวรัสโคโรน่า และฉันเชื่อว่าทางเลือกนั้นผิดพลาดระหว่างทาง
เนื่องจากเกือบทุกคนเริ่มใช้ Zoom สำหรับการประชุมทางวิดีโอ (ทำงานจากที่บ้าน) ตอนนี้หลายคนจึงถอยห่าง
ระเบิดซูมเพิ่มขึ้นอย่างต่อเนื่อง
เมื่อวันที่ 30 มีนาคม FBI ได้เตือนประชาชนเกี่ยวกับกรณีที่เพิ่มขึ้นของ Zoom Bombing ซึ่งการประชุมทางวิดีโอของคุณอาจถูกรบกวนด้วยภาพลามกอนาจารและ/หรือแสดงความเกลียดชังและภาษาที่คุกคาม เป็นกรณีของการจี้คุณลักษณะการประชุมทางไกลผ่านวิดีโอบน Zoom ซึ่งปรากฏถึงระดับที่ผู้ใช้เริ่มรู้สึกไม่ปลอดภัยที่จะใช้มัน
ฉันเชื่อว่าเหตุผลอาจเป็นเพราะการประชุมของ Zoom สามารถเข้าถึงได้โดย URL สั้น ๆ ซึ่งเป็นถ้วยชาสำหรับแฮกเกอร์ Zoom ได้เผยแพร่หลักเกณฑ์เพื่อป้องกันไม่ให้แขกที่ไม่ต้องการลักลอบใช้วิดีโอของคุณ
การเข้ารหัสแบบ End to End
ทุกบริการที่อนุญาตให้ผู้ใช้แบ่งปันการสื่อสารผ่านข้อความ สแน็ป วิดีโอคลิป หรือโหมดอื่นๆ จะต้องได้รับ การเข้ารหัสจากต้นทางถึงปลายทาง ระยะเวลา! ข้อความหรือคลิปวิดีโอที่เข้ารหัสแบบ end to end สามารถอ่านได้โดยผู้ส่งและผู้รับเท่านั้น สำหรับคนอื่นๆ มันเป็นเพียงการจัดโครงสร้างโค้ดแบบสุ่มที่ไม่สมเหตุสมผลสำหรับพวกเขา ทุกที่ Zoom ได้กล่าวถึงคุณลักษณะการประชุมทางวิดีโอที่มีการเข้ารหัสแบบ end-to-end อย่างไรก็ตามจริงๆแล้วมันไม่ได้เป็นเช่นนั้น
Zoom พูดในทุกที่ ทั้งในแอป เว็บไซต์ เอกสารไวท์เปเปอร์ด้านความปลอดภัยว่าแฮงเอาท์วิดีโอ "เข้ารหัสตั้งแต่ต้นทางถึงปลายทาง" แต่เมื่อ @theintercept ถามพวกเขา พวกเขากล่าวว่า:
“ขณะนี้ยังไม่สามารถเปิดใช้งานการเข้ารหัส E2E สำหรับการประชุมทางวิดีโอของ Zoom” https://t.co/4e0oPg2tta
– Trevor Timm (@trevortimm) วันที่ 31 มีนาคม 2020
เมื่อเร็วๆ นี้ เมื่อถูกถามเกี่ยวกับการ เข้ารหัส E2E โดย Intercept นั้น Zoom ได้กล่าวว่า “ขณะนี้ ยังไม่สามารถเปิดใช้งานการเข้ารหัส E2E สำหรับการประชุมทางวิดีโอของ Zoom”
การจัดการขนาดเล็กโดยการเฝ้าระวังในแอป
สิ่งเดียวที่แย่กว่าที่นายจ้างหรือครูสามารถทำได้คือไมโครจัดการพนักงานหรือนักเรียน ความรู้สึกเหมือนมีใครบางคนกำลังเฝ้าดูคุณอยู่ทุกวินาทีของวันซึ่งไม่ได้รู้สึกน้อยไปกว่าการสะกดรอยตาม
ในทำนองเดียวกัน Zoom ก็มีคุณลักษณะที่เรียกว่า " การติดตามความสนใจ " ซึ่งระบุผู้ใช้ที่อยู่ห่างจากหน้าต่างการซูมที่ทำงานอยู่ได้อย่างแม่นยำตั้งแต่ 30 วินาทีขึ้นไป
เรื่องนี้ค่อนข้างสะดวกสำหรับนายจ้างหรือครูที่จะคอยดูพนักงาน/นักเรียน ซึ่งเป็นเรื่องความเป็นส่วนตัวเช่นกัน
ด้วยเหตุนี้ ฟีเจอร์ติดตามความสนใจ จึงถูก ลบออก จากแอป Zoom ตั้งแต่วันที่ 2 เมษายน 2020 เป็นต้นไป
การค้าข้อมูลผู้ใช้
การค้าข้อมูลที่เป็นความลับของผู้ใช้ในเชิงพาณิชย์ไม่ใช่สิ่งใหม่ที่เราได้ยินในปัจจุบัน เหตุการณ์ก่อนหน้านี้ทำให้แอปโซเชียลมีเดียรวบรวมข้อมูลของเราและขายต่อให้กับหน่วยงานอื่น และที่น่าตกใจคือ Facebook เชื่อมต่อกับสิ่งนี้โดยตรงหรือโดยอ้อม
สังเกตได้ว่า Zoom กำลังส่ง ข้อมูลผู้ใช้ iOS ไปยัง Facebook เพื่อขายต่อ แม้ว่าคุณจะไม่มีบัญชี Facebook ก็ตาม เห็นได้ชัดว่าบริษัทจะปฏิเสธสิ่งนี้ อย่างไรก็ตาม ผู้ใช้ราย หนึ่งยื่นฟ้องโดย Zoom ล้มเหลว ในการปกป้องข้อมูลส่วนบุคคลของผู้ใช้นับล้าน” บนแพลตฟอร์ม
บริษัทได้ ทำการเปลี่ยนแปลงนโยบายความเป็นส่วนตัว หลังจากเหตุการณ์ที่สามารถตรวจสอบได้ที่นี่
ข้อบกพร่องด้านความปลอดภัยอื่นๆ ด้วย Zoom
นอกเหนือจากข้างต้นที่ค้นพบเมื่อเร็ว ๆ นี้ ยังมีข้อบกพร่องอื่น ๆ ที่มีอยู่แล้วกับ Zoom เมื่อไม่กี่เดือนก่อน พบว่า Zoom ติดตั้งเว็บเซิร์ฟเวอร์อย่างเงียบๆ บนอุปกรณ์ของผู้ใช้ที่สามารถเพิ่มผู้ใช้ในการโทรใดๆ โดยไม่ได้รับอนุญาตจากเขา/เธอ และข้อบกพร่องล่าสุดเกี่ยวกับแฮ็กเกอร์ที่เข้าควบคุม Mac ของผู้ใช้ รวมถึงเว็บแคมและไมโครโฟน
เคยสงสัยหรือไม่ว่าตัวติดตั้ง @zoom_us macOS ทำงานโดยที่คุณไม่เคยคลิกติดตั้งได้อย่างไร ปรากฎว่าพวกเขา (ab) ใช้สคริปต์การติดตั้งล่วงหน้า แกะแอปด้วยตนเองโดยใช้ 7zip ที่รวมเข้าด้วยกัน และติดตั้งลงใน /Applications หากผู้ใช้ปัจจุบันอยู่ในกลุ่มผู้ดูแลระบบ (ไม่จำเป็นต้องรูท) pic.twitter.com/qgQ1XdU11M
– เฟลิกซ์ (@c1truz_) วันที่ 30 มีนาคม 2020
โดย: ข้อความ "ส่วนตัว" ที่ส่งถึงบุคคลระหว่างการประชุม Zoom จะปรากฏในการถอดเสียงเมื่อสิ้นสุดการประชุมพร้อมกับข้อความสาธารณะอื่นๆ ทั้งหมด
บอกเพื่อนของคุณช่วยชีวิต
— Christian Moriarty (@MoriartyCR) วันที่ 3 เมษายน 2020
ดังนั้น มาตกลงกันในสิ่งหนึ่งที่ Zoom เป็นมัลแวร์และล้มเหลวอย่างต่อเนื่องในด้านความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ ทำให้ชีวิตของผู้ใช้มากขึ้นบนแพลตฟอร์มที่เป็นอันตราย Zoom ไม่สามารถรักษาเลเยอร์ความปลอดภัยให้แข็งแกร่งอย่างที่คาดไว้
Zoom Executive เกี่ยวกับประเด็นและแผนปฏิบัติการเพิ่มเติม
"เราตระหนักดีว่าเราขาดความคาดหวังด้านความเป็นส่วนตัวและความปลอดภัยของชุมชนและของเราเอง" โดยอธิบายว่า Zoom ได้รับการพัฒนาสำหรับธุรกิจขนาดใหญ่ที่มีพนักงานไอทีภายในองค์กรที่สามารถตั้งค่าและใช้งานซอฟต์แวร์ได้ Zoom จะ “หยุดการทำงานของฟีเจอร์ อย่างมีประสิทธิภาพในทันที และเปลี่ยนทรัพยากรด้านวิศวกรรมทั้งหมดของเราให้มุ่งเน้นไปที่ปัญหาด้านความไว้วางใจ ความปลอดภัย และความเป็นส่วนตัวที่ใหญ่ที่สุดของเรา” – Eric S. Yuan (ซีอีโอและผู้ก่อตั้ง Zoom)
ห่อ
Zoom กลายเป็นหนึ่งในแอพที่จำเป็นที่สุดในช่วงกักตัวเนื่องจากการระบาดของ COVID-19 จำนวนผู้ใช้ที่เพิ่มขึ้นอย่างมากช่วยให้ Zoom มีรายได้อย่างแน่นอน อย่างไรก็ตามพวกเขาไม่ได้กลับมาเหมือนเดิม การละเมิดอย่างต่อเนื่องและข้อบกพร่องด้านความปลอดภัยไม่สามารถรักษาข้อมูลของผู้ใช้ให้ปลอดภัยตามที่คาดไว้
ในตอนนี้ โปรดคอยดูการใช้แอปการประชุมทางวิดีโอของ Zoom เนื่องจากคุณอาจตกเป็นเหยื่อของการสูญเสียข้อมูลผ่านแอป
อ่านต่อไป:
ทางเลือกการซูมที่ดีที่สุดสำหรับการประชุมทางไกล/การประชุมทางวิดีโอ
วิธีแชร์หน้าจอใน Zoom
วิธีการสกรีนบันทึกการประชุมซูมด้วยเสียง