Почему Zoom обвиняют в ненадежности?
В разгар пандемии коронавируса, когда страны внедряют жесткие карантинные ограничения, а людей призывают практиковать социальное дистанцирование, чрезвычайную популярность получило американское приложение для видеоконференций Zoom.
В течение последнего месяца оно заняло уверенное первое место по количеству скачиваний в App Store, обойдя даже любимца подростков TikTok.
Однако у популярности была и обратная сторона – Zoom оказался не готов к краже данных и хакерским атакам на школьные чаты. «Зумбомбинг», когда хакеры взламывают чаты других пользователей в Zoom, получил такое распространение, что ФБР даже выпустило рекомендации, как противодействовать этому.
А недавно специалисты по кибербезопасности нашли на хакерских форумах в даркнете учетные данные более 0,5 млн аккаунтов Zoom, которые можно было приобрести менее чем за цент. А если к этому добавить тысячи записей видеоконференций, слитых в открытый доступ на Youtube и Vimeo, то становится понятным, почему школы, бизнес и госструктуры начали массово отказываться от Zoom.
Почему хакерам удалось взломать сервис, что такое «зумбомбинг» и как этому противодействовать.
Что не так с Zoom?
Интересно, что Zoom начали критиковать еще летом 2019 года, когда выяснилось, что уязвимость macOS позволяет приложению принудительно активировать камеру в MacBook. Но тогда приложение еще не было таким популярным, поэтому инцидент не получил широкой огласки.
Все изменилось весной 2020 года: были выявлены многочисленные уязвимости, о которых ни разработчики, ни пользователи до сих пор не догадывались. Например, выяснилось, что Zoom распространяет информацию с LinkedIn даже о пользователях, использующих псевдонимы, а также передает данные в Facebook, даже если у вас там нет учетной записи, а хакеры могут получить доступ к вашему компьютеру и установить вредоносные или шпионские программы.
Кроме этого, выяснилось, что Zoom не применяет сквозное шифрование, (end-to-end, E2E), когда доступ к сессии имеют только ее участники. Как отмечает The Intercept, Zoom использует свое собственное определение термина «сквозное шифрование», которое позволяет ему получать доступ к незашифрованным видео и аудио из сессий.
Представители Zoom в разговоре с изданием признали, что во время видеоконференций используют не E2E, а комбинацию TCP- и UDP-соединений для обеспечения масштабирования; для защиты же используют транспортное шифрование (TLS), которое используется для защиты HTTPS-сайтов. Оно предусматривает, что соединение между приложением Zoom, которое работает на компьютере или телефоне пользователя, и сервером Zoom зашифровано так же, как зашифровано соединение между веб-браузером пользователя и статьей на https-ресурсе.
Понятно, что сессии при таком способе шифрования не могли быть полностью конфиденциальными, ведь сам Zoom мог получить доступ к их незашифрованному контенту. А если это мог сделать Zoom, то мог и любой другой посторонний пользователь.
В свою очередь сквозное шифрование обеспечивает больший уровень безопасности, так как содержание сессии зашифровано с помощью ключа, генерируемого на устройствах пользователей, а следовательно, Zoom мог иметь доступ к незашифрованному контенту, но без ключей, необходимых для его расшифровки.
По мнению некоторых исследователей, групповые видеоконференции вообще-то трудно шифровать сквозным методом, ведь поставщику услуг необходимо определить, кто говорит, чтобы действовать как коммутатор. Однако опыт Apple FaceTime, который допускает сквозное шифрование своих групповых видеоконференций, показывает, что это возможно.
Как Zoom пытается исправить ситуацию?
Из-за скандалов с нарушением безопасности, 30 марта Zoom был вынужден изменить политику конфиденциальности, объявив, что т. н. «контент клиента» больше не будет использоваться в рекламных целях, видео будет храниться только по запросу пользователя и оно не будет доступно для компании. Если организатор встречи не записывает сессию, то аудио, чат и видео сохраняться не будут. Если же организатор сессии начнет запись трансляции, ее участники получат сообщение и смогут отказаться и выйти из сессии.
Переосмысленный документ также подробнее объясняет, какие данные о клиентах собирает Zoom. Например, номера телефонов и имена пользователей.
После публикации расследования на Motherboard Zoom заявил, что обновляет свое приложение для iOS, чтобы прекратить делиться данными с Facebook, а уже 1 апреля в ответ на расследование The Intercept гендиректор Zoom Эрик Юань заявил, что компания приостанавливает разработку нового функционала на 90 дней.
Несмотря на попытки Zoom оперативно исправить уязвимости – это не спасло компанию от массовой критики со стороны крупных корпораций и госучреждений, а также многочисленных судебных исков.
В ответ компания была вынуждена нанимать высококлассных специалистов, в частности Алекса Стамоса, бывшего директора по безопасности Facebook и главу Luta Security Кэти Муссурис, которая известна тем, что настраивает программы для борьбы с ошибками для Microsoft, Symantec и Пентагона.
Стамос уже успел заявить, что недостатки кодирования и криптографические проблемы важны, однако в большинстве случаев реальный технологический вред исходит от людей, которые просто используют продукт с целью навредить другим людям.
Что такое зумбомбинг?
Zoombomb, или Zoomraiding – это подключение к видеоконференции незнакомцев, когда сессия не защищена паролем и присоединиться к ней можно, просто кликнув ссылку на общедоступное событие Zoom.
Многие злоумышленники быстро ищут в соцсетях «Zoom.us» и начинают собирать URL-ссылки. Как только тролль вошел в сессию, он может преследовать пользователей оскорбительными сообщениями.
Сначала подобные инциденты считались просто розыгрышами или троллингом, но со временем они привлекли внимание ФБР из-за разжигания вражды. Например, The New York Times писала о зумбомбинге, направленном против мусульман, собраний анонимных алкоголиков и онлайн-классов.
Журналисты издания нашли 153 учетные записи в Instagram, десятки аккаунтов в Twitter и закрытых чатах, а также несколько веток на форумах Reddit и 4Chan, где тысячи людей собираются с целью организовать зумбомбинг.
Zoom-хулиганы часто используют шокирующие изображения, расовые эпитеты и нецензурные выражения для срыва видеоконференций. Хотя организатор встречи может в любой момент удалить любого участника, злоумышленников бывает сложно отследить; их может быть несколько в одной встрече, и они могут перескакивать с одного имени пользователя на другое.
Иногда зумбомбинг может приобрести сюрреалистических черт, как в случае с инженером Samsung, который подключился к сессии своих коллег, используя AI версию Илона Маска.
Что сделал Zoom для решения проблемы зумбомбинга?
Чтобы повысить конфиденциальность, в Zoom создали кнопку «Security», которая отображается в элементах управления сессии. После того, как организатор или соорганизатор сессии кликнут на значок, они получают доступ к ряду функций, которые по замыслу разработчиков должны сделать невозможным зумбомбинг.
Как еще можно предотвратить зумбомбинг?
Пользователи могут сделать свои видеоконференции более безопасными, если будут придерживаться следующих советов:
- Используйте уникальный идентификатор, а не личный идентификатор встречи для каждого звонка. На странице поддержки Zoom вы найдете пошаговое видео, как создать случайный идентификатор.
- Создавайте комнату ожидания, чтобы организатор сессии мог выбирать, кто из пользователей может войти в чат перед тем, как он официально начнется.
- Выключите возможность совместного использования экрана для всех, кроме организаторов сессии. Выключите звук и аннотации, видео, личные чаты и пользовательские фоны.
- Если ваша встреча таки прервана троллем, то отключите возможность пользователя присоединиться к сессии после его удаления.
