Примерно год назад я познакомился с Zoom, точнее, меня с ним хотели познакомить друзья, которые предложили сделать видеоконференцию. Мне хватило около десяти минут, чтобы забыть о Zoom навсегда. Первое – Zoom не является свободным ПО (проектом с открытым исходным кодом), второе – их политика приватности, в которой было сказано, что они собирают тонны информации о своих пользователях.
Тогда я предложил свои друзьям этичную open source альтернативу (о которой будет сказано чуть ниже), и мы обошлись без Zoom.
И вот с приходом всемирного карантина, все в один момент начали использовать Zoom для видеоконференций, даже первые лица государств: Zoom + операционная система Windows = рука-лицо, а потом люди удивляются, что хакеры завладели какой то важной государственной информацией… Вот премьер-министр Великобритании весело проводит время в Zoom (даже ID комнаты засветил) с какими то чиновниками. И таких твитов/постов в других социальных сетях можно найти немало, где политики проводят свои встречи именно через Zoom.
Мдаа… а я то когда думал, что когда политики разных государство проводят видеоконференцию/звонок, то предварительно, какие то супер-турбо-админы настраивают супер-шифрованный канал связи, каким то спец софтом, которого нет в свободном доступе и т.д.
Zoom столкнулся с огромным наплывом новых пользователей, так как вспышка COVID-19 заставляет все больше и больше людей переходить на работу из дома.
Тем не менее, новые пользователи должны быть осведомлены о правилах компании в области защиты конфиденциальности. Просматривая политику приватности и некоторые подтверждающие документы, вы быстро обнаруживаете, что Zoom отслеживает ваше присутствие во время звонков, делится большими объёмами данных с третьими лицами и имеет серьёзную угрозу безопасности.
1) Zoom знает, уделяете ли вы внимание звонку
Всякий раз, когда вы принимаете вызов, у вас есть возможность активировать функцию отслеживания внимания участников конференции. Эта функция предупреждает организатора звонка каждый раз, когда кто-то из участников разговора "не имеет в фокусе десктопного или мобильного приложения Zoom в течение более 30 секунд". Другими словами, если вы находитесь на звонке и нажмёте кнопку свернуть, или нажмёте на любое другое приложение, организатор звонка получит уведомление через 30 секунд, независимо от того, свернули ли вы Zoom, чтобы сделать заметки, проверить свою электронную почту или ответить на вопрос в другом приложении.
Эта функция работает только в том случае, если кто-то из участников разговора делится своим экраном. Неясно, уведомляются ли участники разговора, если при разговоре используется функция отслеживания внимания.
Конечно, то, что вы не смотрите на экран Zoom, не означает, что вы не обращаете внимания и не выполняете свою работу. Более того, эта функция не всегда может надёжно определить, отошли ли вы от звонка. Она работает только на приложениях Zoom версии 4.0 или более поздней версии, и не так надёжна, если вы используете Zoom через веб-браузер.
Вы также должны знать, что если организатор звонка решит записать встречу, то Zoom сохранит TXT-файл сообщений чата, и поделится этим файлом с организатором конференции.
Согласно информации на их странице поддержки:"сохраненный чат будет включать только сообщения от организатора и участников дискуссии всем участникам конференции". Однако здесь не уточняется, что произойдёт с прямыми сообщениями между самими участниками конференции.
2) Zoom следит не только за вашим вниманием, но и за вами
В соответствии с политикой конфиденциальности компании, Zoom собирает много данных о вас, включая:
- ваше имя
- физический адрес
- адрес электронной почты
- номер телефона
- должность
- вашего работодателя
Даже если вы не создадите учётную запись в Zoom, она будет собирать и хранить данные о том, какое устройство вы используете, и ваш IP-адрес. Он также собирает информацию из вашего Facebook профиля (если вы используете Facebook для входа в систему) и любую "информацию, которую вы загружаете, предоставляете или создаёте во время использования сервиса".
Некоторые из этих данных вы вводите сами при входе в систему (например, чтобы присоединиться к онлайн-звонку, вы должны предоставить вашу электронную почту), но большая их часть собирается автоматически приложением Zoom.
В своей политике конфиденциальности, в разделе "Продаёт ли Zoom личные данные?", политика говорит: "Зависит от того, что вы имеете в виду под "продажей"".
Подводя итог по политике Zoom, они говорят, что не продают персональные данные за деньги третьим лицам, но передают их третьим лицам для "деловых целей" этих компаний. В своей политике конфиденциальности они приводят пример того, что могут передавать ваши личные данные в Google.
В статье на Vice было отмечено, что приложение Zoom на iOS делится значительным количеством пользовательских данных с Facebook, даже если у пользователя нет аккаунта на Facebook. Однако через два дня после публикации этой статьи, Zoom удалил код, который отправлял данные на Facebook. В заявлении для Vice, Zoom объяснил, что он не знал, что набор для разработки программного обеспечения (SDK) Facebook, используемый для реализации функции "Вход с Facebook" в своем приложении собирает ненужные данные. В заявлении также перечислялись типы данных об устройствах, собранных с помощью набора SDK для Facebook, включая тип и версию операционной системы для мобильных устройств, часовой пояс устройства, операционную систему устройства, модель и оператора, размер экрана, процессорные ядра и объем дискового пространства.
В настоящее время компания Zoom столкнулась с коллективным иском от жителя Калифорнии, который утверждает, что компания Zoom нарушила Калифорнийский закон о защите прав потребителей, не получив согласия пользователей перед тем, как поделиться своими данными с Facebook. Кроме того, недавно Генеральная прокуратура Нью-Йорка направила компании письмо, в котором выразила обеспокоенность тем, что существующие методы обеспечения безопасности компании Zoom не обеспечивают защиту данных пользователей. Главная обеспокоенность генерального прокурора заключается в том, что Zoom, возможно, не прилагает достаточно усилий для выполнения требований штата по защите данных студентов. Недавно Zoom увеличил число участников, которым разрешено бесплатно звонить, чтобы помочь учителям и школам охватить учеников на дому.
3) Zoom не использует сквозное шифрование
Zoom использовал свое собственное определение для сквозного шифрования (E2EE), которое может ввести в заблуждение многих пользователей. Несмотря на информацию с вебсайта Zoom и его техническую документацию по безопасности, в которой утверждается, что звонки с использованием "компьютерного аудио" шифруются сквозным шифрованием, перехват показал, что Zoom использует только шифрование на транспортном уровне (TLS), то же самое шифрование, которое защищает все веб-сайты, использующие HTTPS.
TLS шифрование защищает интернет-соединения от прослушивания третьими лицами, но в этом случае оно не защищает данные от Zoom. Это отличается от сервисов E2EE, таких как ProtonMail. При использовании истинного E2EE, сообщение (или видеочат) шифруется на устройстве пользователя, а затем не может быть расшифровано, пока не достигнет устройства получателя. Никто не может расшифровать или получить доступ к незашифрованным данным между двумя конечными пользователями.
Представитель Zoom пояснил, что E2EE к Zoom означает, что "соединение шифруется от конечной точки Zoom к конечной точке Zoom". Здесь "конечная точка" подразумевается сервер Zoom, а не приложение Zoom. Это не соответствует принципам настоящего свкозного шифрования (E2EE).
4) Zoombombing
Онлайн-тролли нарушают работу многочисленных онлайн-конференций, делясь неприятными или порнографическими материалами с помощью функции Zoom Screen Share. Это явление получило название "Zoombombing" и является широко распространенной проблемой.
По умолчанию Zoom позволяет любому пользователю поделиться своим экраном с участниками конференции без разрешения организатора конференции. Если вызов является публичным, любой, у кого есть URL вызова, может присоединиться к нему. Это позволяет злоумышленникам проникать в разговоры, используя публичные ссылки, а затем брать на себя управление, делясь своим экраном и показывая аудитории оскорбительные материалы.
5) Проблема со взломом веб-камеры
В прошлом году консультант в области безопасности Джонатан Лейтшуч (Johnathan Leitschuch) обнаружил, что Zoom установил локальный веб-сервер на компьютере пользователя Mac, что позволило Zoom обойти функции безопасности в Safari 12. Этот веб-сервер не упоминался ни в одной из официальных документов Zoom. Он использовался для обхода всплывающего окна, которое показывалось в Safari 12 перед включением камеры устройства.
При этом, этот удаленный веб-сервер также не был должным образом защищен. С ним мог взаимодействовать практически любой веб-сайт. В результате Zoom позволил вредоносным сайтам захватить камеру Mac, не предупреждая об этом пользователей.
Это привело к тому, что Electronic Privacy Information Center подал в FTC жалобу на Zoom, утверждая, что Zoom "намеренно разработал свою службу веб-конференций, чтобы обойти настройки безопасности браузера и удаленно включить веб-камеру пользователя без ведома или согласия пользователя".
Хотя компания Zoom с тех пор удалила эти удалённые веб-серверы, её бесцеремонный подход к получению разрешения пользователя, и постоянное пренебрежение соображениями безопасности и конфиденциальности, в погоне за удобством, вызывают серьёзные вопросы.
Генерация ключей в Китае
По данным исследователей из Университета Торонто, некоторые видеоконференции Zoom шифруются с использованием ключей, выдаваемых серверами в Китае, даже когда все участники совещаний находятся в Северной Америке. Также Zoom, похоже, имеет не менее 700 сотрудников в Китае, распределенных по трём дочерним компаниям.
В докладе университетской лаборатории Citizen Lab, широко известной в кругах информационной безопасности, сервис Zoom "не подходит для использования", и что по закону он обязан раскрывать ключи шифрования китайским властям, и "реагировать на давление" со стороны этих властей.
Когда вы начинаете конференцию в Zoom, программное обеспечение Zoom, работающее на вашем устройстве, получает ключ для шифрования аудио и видео. Этот ключ поступает из облачной инфраструктуры Zoom, которая содержит серверы по всему миру. В частности, он поступает с сервера, известного как "система управления ключами", которая генерирует ключи шифрования и распространяет их среди участников собрания. Каждый пользователь получает один и тот же общий ключ, когда присоединяется к конференции. Он передается программному обеспечению Zoom на их устройствах из системы управления ключами с помощью еще одной системы шифрования - TLS, той же технологии, которая используется в протоколе HTTPS, защищающем веб-сайты.
В зависимости от того, как настроена конференция, некоторые серверы в облаке Zoom под названием "коннекторы" также могут получить копию этого ключа. Например, если кто-то звонит по телефону, он на самом деле звонит на сервер "коннектора Zoom телефонии", на который отправляется копия ключа.
Некоторые из систем управления ключами (5 из 73) похоже находятся в Китае, а остальные - в США. Два исследователя Citizen Lab, которые являются авторами доклада, Билл Марчак и Джон Скотт-Рейлтон, живут в Соединенных Штатах и Канаде. Во время тестового звонка между ними, общий ключ шифрования встречи "был отправлен одному из участников по TLS с сервера Zoom, по-видимому, расположенного в Пекине", говорится в докладе.
В отчёте отмечается, что Zoom может быть юридически обязан предоставлять ключи шифрования китайским властям, если эти ключи генерируются на сервере управления ключами, расположенном в Китае. Если китайские власти или любой другой гипотетический злоумышленник, имеющий доступ к ключу, хочет шпионить за Zoom конференцией, он также должен либо контролировать доступ в интернет участника конференции, либо следить за сетью внутри Zoom облака. Собрав зашифрованный трафик конференции, они могут использовать ключ для его расшифровки и восстановления видео и аудио.