На прошлой неделе британского премьер-министра Бориса Джонсона широко высмеивали за то, что он поделился с нами скриншотом заседания кабинета министров, проведенного на платформе для видеоконференций Zoom.
Как быстро заметили пользователи Twitter, на снимке был указан идентификационный номер заседания Zoom, а также имена некоторых министров, принявших в нем участие. Были предположения о том, что представители общественности смогут дозвониться на собрание - хотя Даунинг-стрит настаивал на том, что ID собрания был защищен паролем.
По мере того, как мир закрывается, все больше и больше собраний проводится в режиме онлайн - на самом деле, по данным потребительской аналитики компании Viewers Logic, приложения для видеоконференций, такие как Zoom, за последние две недели продемонстрировали скачок в использовании на 750%.
И, похоже, Джонсон и его команда слегка отстали. Поступают сообщения о "Зумбомбинге" - незваные тролли прыгают на звонки в Zoom и размещают порнографические или расистские изображения.
И это даже не всегда корпоративные встречи - пару недель назад в онлайн-класс из средней школы Массачусетса вторгся посторонний, который оскорбил всех, а затем выкрикнул домашний адрес учителя.
ФБР предупреждает пользователе
Подобные события побудили ФБР выдать предупреждение. Пользователи не должны делать встречи публичными, сказано: вместо этого, в Zoom, они могут потребовать пароль для встречи или использовать функцию "комната ожидания", чтобы контролировать вход гостей. Ссылки не должны публиковаться публично.
Пользователи должны управлять опциями совместного использования экрана ("Только для хозяев" в Zoom) и должны убедиться, что они используют последнюю версию программы - недавнее обновление Zoom добавило пароли по умолчанию для собраний и отключило возможность случайного сканирования на наличие собраний для присоединения.
Это, конечно, сравнительно базовые меры, которые пользователи - особенно те, кто использует систему для работы - должны выполнять в обычном порядке.
Однако, что более тревожно, Zoom оказался еще одним потенциально серьезным недостатком в системе безопасности. Совсем недавно в пятницу в докладе канадской лаборатории "Citizen Lab" ее обвинили в маршрутизации данных через Китай и ложно обвинили в том, что она предлагала сквозное шифрование (она использует свою собственную схему шифрования).
"Zoom всегда стремился использовать шифрование для защиты контента в как можно большем количестве сценариев, и в этом духе мы использовали термин "сквозное шифрование", - говорит директор по продукции Oded Gal в посте блога.
"Хотя мы никогда не стремились обмануть любого из наших клиентов, мы признаем, что существует расхождение между общепринятым определением сквозного шифрования и тем, как мы его использовали".
На самом деле, когда все участники собрания используют клиенты Zoom, а собрание не записывается, все видео, аудио, содержимое совместного использования экрана и чата шифруется у отправляющего клиента, и не расшифровывается до тех пор, пока не доходит до получающего клиента.
Но, говорит Gal, "Когда пользователи присоединяются к Zoom-встречам, используя устройства, которые не используют коммуникационный протокол Zoom, такие как телефон (подключенный через традиционную телефонную линию, а не приложение) или SIP/H.323-комнатные системы, шифрование Zoom не может быть применено непосредственно этим телефоном или устройством".
Компания пытается исправить это путем создания серии 'Коннекторов' - эффективных Zoom клиентов, которые работают в облаке Zoom.
"Содержимое остается зашифрованным для каждого коннектора, и когда это возможно, мы будем шифровать данные между каждым коннектором и конечным пунктом назначения (например, системой не Zoom room)," говорит Gal. Это своего рода решение.
Китайские ссылки
Между тем, сообщения о связи с Китаем может быть не менее трудно опровергнуть.
Как отмечает Citizen Lab, "компания, обслуживающая в первую очередь североамериканских клиентов, которая иногда распространяет ключи шифрования через серверы в Китае, может быть обеспокоена, учитывая, что Zoom может быть юридически обязана раскрыть эти ключи властям Китая".
Хотя компания говорит, что слабость маршрутизации была простой ошибкой при увеличении пропускной способности ЦОД, большая часть ее программного обеспечения разрабатывается в трех китайских компаниях, в которых работает не менее 700 человек.
Все это означает, что репутация Zoom была серьезно запятнана.
"Приложение с легко распознаваемыми ограничениями в криптографии, вопросах безопасности и использующие оффшорные сервера, расположенные в Китае, которые обрабатывают ключи для встреч, представляют собой четкую цель для достаточно хорошо обеспеченных ресурсами государственных атак, включая Китайскую Народную Республику", - говорит лаборатория Citizen Lab.
"В результате этих проблем с безопасностью мы не рекомендуем использовать Zoom в настоящее время для случаев использования, требующих соблюдения конфиденциальности и секретности".