Zoom: слабкі місця популярного сервісу, і як не стати жертвою кібершахраїв

Американський онлайн-сервіс відеоконференцій Zoom за останній рік подорожчав більш ніж удвічі, його капіталізація на NASDAQ зросла на 127% – до $41,6 млрд. Проект став популярним через масовий перехід на віддалену роботу під час пандемії коронавірусу. Популярність Zoom зросла по всьому світу. На тижні з 15 по 21 березня він посів друге місце за кількістю завантажень, поступившись тільки TikTok.

Однак на адресу компанії надходить все більше критики через проблеми з безпекою: користувачі скаржилися на передачу їх даних в Facebook, на витік відеозаписів і особистої контактної інформації. На компанію вже подано до суду щодо порушення приватності користувачів в США. Через проблеми з безпекою від використання Zoom тільки за останні тижні відмовилися SpaceX, Apple, Google, NASA, Пентагон і Сенат США.

Forbes проаналізував, які вразливості були і залишаються у сервісу Zoom.

1. Передача даних Facebook. В кінці березня стало відомо, що дані користувачів iOS-версії додатка Zoom передаються в Facebook, навіть якщо у користувача немає облікового запису в соцмережі. Zoom ділиться з Facebook інформацією про модель телефону, місто, оператора зв'язку та рекламний ідентифікатор пристрою. Все це – для таргетування реклами.

Після цього Zoom оголосив, що виправив функцію передачі даних, однак на компанію все одно подали до суду про порушення конфіденційності.

2. Слабке шифрування відео. Zoom не використовує наскрізне шифрування (end-to-end, E2E) для надійної передачі відео і аудіо. На практиці Zoom використовує TLS-шифрування, яке дає технічну можливість шпигувати за користувачами і потенційно може передавати файли в правоохоронні органи за запитом.

В Zoom пояснили, що за допомогою наскрізного шифрування в Zoom захищені тільки текстові чати. Zoom також заявила, що не має доступу до сесійних ключів і не може розшифрувати повідомлення, якими обмінюються користувачі.

3. Невідомі «діри» в безпеці. В середині березня видання Vice розповіло про те, що зловмисники продають дані про дві вразливості в Zoom, які дозволяють стежити за дзвінками. Одна з вразливостей призначена для операційної системи macOS, друга – для Windows. За словами одного зі співрозмовників видання, вразливість для Windows «ідеальна для промислового шпигунства», а продавець запросив за неї $500 000. При цьому він сумнівається в тому, що їх можна було б довго використовувати, тому що коли вразливості  починають експлуатувати, то про них швидко стає відомо і вони закриваються.

Пізніше Zoom повідомляла, що не знайшла підтвердження цієї інформації.

4. Прослухування викликів. У січні стало відомо ще про один дефект Zoom, який дозволяв прослуховувати виклики, отримувати доступ до всіх аудіо- та відеофайлів і документів користувачів, якими вони обмінювалися в чатах. За оцінкою експертів, підібрати правильний ідентифікатор дзвінка (зламати його – ред.) вдавалося в 4% випадків.

Zoom заявив, що вже усунув цю проблему, замінивши ідентифікатори на більш надійні.

5. Порнографія в ефірі. Популярність Zoom привернула зловмисників, які підключаються до конференцій і починають демонструвати відеозаписи з насильством або порнографією. Явище отримало назву Zoombombing. Ніякої мети, крім як зірвати конференцію, інтернет-тролі не мають. Щоб підключитися до конференції, вони шукають посилання на них, які користувачі самі розміщують у відкритому доступі.

Щоб такого не сталося, досить не публікувати посилання на конференцію в соцмережах, використовувати пароль, а також відключити загальний доступ до екрану конференції.

6. Незнайомці як друзі. Zoom розкривав особисті дані тисяч користувачів, повідомило в квітні видання Motherboard. Йдеться про їх email-адреси, імена, фотографії і статуси профілю. Проблема пов'язана з налаштуванням «Каталог компанії» (Company Directory) Zoom, через яку люди з email-адресами в одному домені (наприклад, yandex.kz (домен для Казахстану), yandex.by (для Білорусі тощо)) розпізнаються як співробітники однієї компанії і автоматично додаються один до одного в контакти. Всі ці люди отримували можливість зателефонувати один одному.

7. Зберігання кодів в Китаї. Ключі шифрування в Zoom іноді вирушали на китайські сервери. Розташована в Кремнієвій долині Zoom володіє трьома китайськими «дочками», в яких працюють мінімум 700 розробників софту. Таким чином, Zoom теоретично може піддатися тиску з боку китайської влади.

Після оприлюднення цієї інформації, Zoom, починаючи з 18 квітня, надала можливість власникам платних акаунтів вибрати регіон, через який будуть відправляти ключі шифрування.

8. Неповне видалення відео. Портал Сnet.com повідомив про вразливість, яка дозволяла шукати збережені відеоролики в Zoom, що містять частину URL-адреси, наприклад назву компанії або організації. Крім того, з'ясувалося, що видалені відео залишалися доступними на хмарі протягом кількох годин після видалення. Zoom випустив оновлення, яке повинно усунути недолік.

9. Продаж акаунтів. Понад 500 000 облікових записів Zoom продаються в даркнеті і на хакерських форумах за копійки. Втім, тут уже немає провини Zoom – дані збираються з старіших витоків. Все це продається шахраям. Деякі облікові записи віддаються безкоштовно на хакерських форумах, наприклад, щоб їх використовували для Zoombombing.

10. Завантаження без згоди. Експерт з кібербезпеки компанії VMRay Фелікс Сііле з'ясував, що Zoom може встановлюється на macOS без згоди користувача. Це нагадує поведінку шкідливих програм, вказав експерт.

В Zoom пояснюють, що спочатку цей сервіс був орієнтований на корпоративних клієнтів: великі установи з повноцінною ІТ-підтримкою і захистом, пояснив у відкритому листі користувачам засновник і CEO Zoom Ерік Юань.

Zoom не був готовий до того, що всього за кілька тижнів майже кожна людина в світі буде змушена працювати, вчитися, спілкуватися з дому, визнає глава компанії. Якщо в кінці грудня 2019 року Zoom використовували 10 млн осіб, то вже в березні 2020 року – понад 200 млн.

Zoom обіцяє приділяти більше уваги кібербезпеки. Компанія вже найняла на допомогу авторитетну компанію Luta Security, відому співпрацею з Microsoft і Пентагоном. Крім того, Zoom готова платити всім охочим за знайдені вразливості, запустивши програму big bounty, в рамках якої буде виплачувати винагороди кіберспеціалістам, які знайдуть проломи в безпеці і повідомлять про це Zoom.