1162 подписчика

Видеоконференции и безопасность данных пользователя

3 апреля 20203 апр 2020

7 мин

Оглавление

Zoom обещает исправить свои недостатки
Скачать Zoom

Количество пользователей сервиса видеоконференций Zoom выросло за последние две недели марта с 10 миллионов пользователей до 200 миллионов. Всего за несколько недель число активных пользователей каждый день в Zoom умножилось на 20. Ситуация в мире ускоряет оцифровку общества, как никогда раньше. Приложение заслужило интерес пользователей за приятный интерфейс и хорошее качество аудиовизуальной передачи данных. В то же время приложение подвергается критике за его недостатки с точки зрения конфиденциальности данных пользователей.

Запущенный в 2013 году, Zoom долгое время был малоизвестным для широкой публики сервисом. Предназначенная для профессионалов, желающих организовать видеоконференции, по данным на декабрь 2019 года платформа Zoom имела около десяти миллионов пользователей ежедневно. Несколько недель спустя, когда половина мира оказалась дома, статистика показала, что Zoom используют уже 200 миллионов человек ежедневно. Эта суперпрогрессия ясно показывает степень цифровой трансформации, которую сейчас переживает общество.

Zoom обещает исправить свои недостатки

В последние дни возросло количество атак направленных на платформу Zoom. Компания получила обвинения в том, что приложение не шифрует сеансы связи. Веб-сайт Intercept показал, что аудио- и видеосвязь Zoom не шифруется от начала-до-конца, тогда как компания ссылается на такую возможность на своем веб-сайте и в бланке технического сопровождения. В используемых компанией формулировках указано, что компания предоставляет возможность «защитить встречу с помощью сквозного шифрования». Но на самом деле, только мгновенные сообщения могут быть до конца зашифрованы.

Аудио и видео потоки шифруются только в TLS между клиентскими терминалами и серверами Zoom, как и в случае с любым другим безопасным веб-сайтом. Таким образом, теоретически компания может прослушивать и просматривать содержание сеансов связи, а также государственные органы, если они того пожелают. Поэтому маркетинговые коммуникации Zoom далеко не ясны по этому вопросу, вероятно, потому, что компания пытается скрыть эту техническую слабость.

Обнаруживаются и другие ошибки и странности в программном обеспечении Zoom. Сайт Vice только что обнаружил, что люди, которые использовали одно и то же доменное имя в почтовом адресе, автоматически группировались в одной и той же адресной книге. Поэтому они могли получить доступ к информации профиля и совершать видеозвонки совершенно незнакомым людям.

На уровне компании это может иметь смысл, но для личных адресов от интернет-провайдеров это может иметь место только в исключительных случаях. Разработчики Zoom догадались исключить адреса крупных поставщиков, таких как Gmail, Yahoo или Hotmail, но они явно не подумали о других случаях.

Хакеры также обнаружили недостаток в клиенте для Windows. Мгновенный обмен сообщениями позволяет вводить внешние ссылки в сетевом формате Windows. Если пользователь щелкает по внешней ссылке, тот, кто управляет внешним сервером, может восстановить пароль пользователя, и часть пользовательской информации, которую хакер может довольно легко расшифровать.

У пользователей macOS репутация Zoom уже давно плачевна. В июле 2019 года исследователь безопасности обнаружил, что любой веб-сайт с помощью приложения Zoom, установленного в операционной системе macOS, может активировать веб-камеру пользователя без разрешения, поскольку приложение Zoom устанавливает на компьютер локальный веб-сервер, который постоянно активен и с котором можно очень легко создавать соединения. Любой веб-сайт может автоматически инициировать видеоконференцию с пользователями Zoom без их уведомления. Другими словами: вы открываете веб-сайт, и кто-то может немедленно снять вас, без каких-либо предупреждений. Все, что нужно сделать злоумышленнику, это создать сеанс видеоконференции в Zoom, установить флажок «Участники видеосеанса включены» и вставить две небольшие строки HTML-кода на свой веб-сайт. Следующий посетитель, который посетит сайт с установленным с приложением Zoom, автоматически включается в эту сессию с включенной камерой. Радует, что компания Apple наконец-то выпустила патч manu militaryari для решения этой проблемы через экстренное обновление. В противном случае для пользователя лучшим решением было бы удалить это программное обеспечение. Но и это непросто. Классическая деинсталляция клиента Zoom не удаляет локальный веб-сервер, который при повторном запросе для сеанса видеоконференции будет переустановлен. Чтобы действительно избавиться от приложения, пользователю нужно открыть окно терминала, вручную идентифицировать и удалить процесс веб-сервера, а затем удалить его файлы командой «rm». Другого решения нет.

Кроме того, получено большое число доказательств, что приложение Zoom для iOS отправляет данные в Facebook, даже если у пользователя нет соответствующей учетной записи. Когда пользователь открывает Zoom, приложение уведомляет Facebook, указывая подробную информацию об используемом устройстве, часовом поясе, в котором находится пользователь, операторе мобильной связи, услуги которого он использует, а также уникальный рекламный идентификатор, сгенерированный смартфоном и позволяющий рекламодателям настраивать таргетинг на отправляемую ими рекламу.

В передаче данных этого типа в Facebook нет ничего нового. Многие приложения полагаются на API (интерфейс программирования) из социальной сети, чтобы упростить интеграцию определенных функций в свое приложение. Но их использование не приводит к отправке определенных данных в социальную сеть, как в случае с Zoom. Даже если в Facebook не передаются конфиденциальные данные пользователя, Zoom в своей политике конфиденциальности не объясняет, что данные об использовании приложения отправляются в Facebook, даже если у пользователя нет аккаунта в этой социальной сети.

Electronic Frontier Foundation (EFF) вынесло предупреждении создателям Zoom за режим работы, который позволяет организатору встречи видеть, отображается ли у участников окно Zoom на экране их ПК. Это позволяет проверить, все ли участники подключены или нет. Приложение Zoom также обходит правила операционных систем для установки своих приложений. Исследователь из Гарварда одновременно предупредил в своем блоге о возможной продаже персональных данных Zoom в рекламных целях. Нарушения безопасности, сомнительные методы разработки, расплывчатый маркетинг... В связи с этим компанию настиг кризис и теперь руководство обещает исправить все свои грехи в течение следующих 90 дней.

В прошлую пятницу приложение было обновлено, чтобы прекратить обмен данными с Facebook. Компания также внесла изменения в свою политику защиты персональных данных, добавив следующие предложения:

«Zoom не отслеживает и не использует контент клиентов по каким-либо причинам, кроме предоставления наших услуг. Zoom никому не продает контент клиентов и не использует его в рекламных целях». Проблема решена? Не совсем.

Каждую среду руководитель компании будет проводить веб-конференцию, чтобы оповестить пользователей о достижениях Zoom в области безопасности.

«Мы не разрабатывали продукт, предполагая, что через несколько недель каждый человек в мире вдруг начнет работать, учиться и общаться на дому», - говорит Эрик Юань, руководитель американской компании, ошеломленный событиями.

Поэтому не стоит ждать от Zoom новинок, пока текущие проблемы не будут устранены.

Немногие компании на фондовом рынке в последние недели могут выйти из кризиса, но для Zoom вероятность выйти из растущего кризиса высока, если ей удастся устранить недостатки платформы.
Отметим, что,благодаря Zoom, впервые услуга видеоконференцсвязи стала доступна для самых широких слоев пользователей, нуждающихся в организации группового общения с другими людьми.

Отсутствие необходимости регистрироваться в приложении, чтобы использовать его, вероятно, объясняет настолько ошеломляющий успех сервиса.