Zoom – вредоносное ПО (дополнено)

Zoom – вредоносное ПО (дополнено)

Переводы Плакаты

Компания в прошлом месяце зарегистрировала увеличение суточного трафика на 535%, но специалисты по безопасности говорят, что это приложение – «катастрофа для конфиденциальности». Перевод материала The Guardian подготовлен Станиславом Катчинским.

***

Из-за коронавирусной изоляции значительная часть межличностных контактов ушла в онлайн. Таким образом, использование Zoom, платформы для видеоконференций, стремительно выросло. Как, однако, и обеспокоенность уровнем её безопасности.

В прошлом месяце, согласно анализу SimilarWeb, объём суточного трафика на странице Zoom.us, с которой можно загрузить программу, вырос на 535%. А приложение для iPhone на несколько недель стало самым скачиваемым в США (согласно данным SensorTower). Даже политики и другие высокопоставленные фигуры, включая премьер-министра Великобритании Бориса Джонсона и бывшего председателя ФРС США Алана Гринспана, используют программу для работы из дома.

Но специалисты по безопасности назвали Zoom «катастрофой для конфиденциальности» и «структурно небезопасным», обвинив компанию в ненадлежащем обращении с наборами пользовательских и метаданных.

В понедельник генпрокурор Нью-Йорка Летиция Джеймс отправила компании письмо с просьбой обозначить шаги, сделанные для устранения недостатков в безопасности, и принять во внимание рост числа пользователей.

В письме Джеймс указала, что Zoom медленно реагировал на уязвимости в собственной безопасности, «которые могут позволить злоумышленникам, помимо всего прочего, заполучить тайный доступ к веб-камерам клиентов».

Представитель Zoom рассказал Guardian, что в среду компания планировала отправить Летиции Джеймс запрашиваемую информацию и выполнить её требования. «Zoom крайне серьёзно относится к приватности, безопасности и доверию пользователей», – сказал представитель корпорации, – «во время пандемии COVID-19 мы работаем круглосуточно, чтобы больницы, университеты, школы и другие учреждения были уверены в том, что смогут иметь связь и функционировать».

А в четверг компания заявила, что прервёт процесс разработки нововведений и переориентирует все технические ресурсы на решение проблем с приватностью и безопасностью, обнаруженных в течение последних нескольких недель.

Что вам нужно знать о проблемах с Zoom:

«Zoom Bombing» на подъёме

30 марта ФБР заявило, что расследовало участившиеся случаи проникновения хакерами в видеоконференции (т. н. Zoom Bombing), часто сопровождаемые расистскими оскорблениями и угрозами.

В конференции Zoom можно проникнуть через короткий URL-адрес, состоящий из цифр, который легко может быть подобран и угадан хакерами, говорилось в январском сообщении Checkpoint, фирмы, занимающейся безопасностью. Через несколько дней Zoom выпустил руководство о том, как предотвратить нежелательное проникновение в видео-конференции, а представитель компании рассказал Guardian, что пользователи также имели возможность ознакомиться с мерами защиты, следя за блог-постами и участвуя в соответствующих вебинарах.

Отсутствие сквозного шифрования

В сообщении компании Intercept говорится, что Zoom ложно разрекламировал себя как сервис, использующий сквозное шифрование (т. н. end-to-end encryption), не позволяющее получить доступ к коммуникации никому, кроме её участников. В среду в своём блоге Zoom подтвердил, что в настоящий момент использование платформой сквозного шифрования невозможно, и извинился за «неудобства», вызванные «некорректным» утверждением обратного в прошлом.

Изъяны обеспечения безопасности

Об изъянах системы безопасности Zoom сообщалось как ранее, так и на этой неделе. В 2019 году выяснилось, что Zoom втайне устанавливал скрытый веб-сервис на устройства пользователей, позволявший добавить их в звонок помимо их воли. Ошибка, вскрытая на этой неделе, может позволить хакерам захватить пользовательский Mac, включая возможность задействовать его веб-камеру и взломать микрофон.

В четверг компания сообщила, что исправила упомянутую проблему с Mac, но число проблем с обеспечением безопасности в прошлом делает Zoom ничем иным как вредоносной программой, – утверждает Арвинд Нарайанан, доцент кафедры информатики в Принстонском университете. Он так и сказал: «Проще говоря, Zoom – это вредоносное ПО».

Слежка в самом приложении

Zoom также критикуют за его функцию «отслеживания внимания», которая позволяет хосту (т. е. организатору конференции – прим. перев.) видеть, что пользователь переключился с окна Zoom на другое дольше чем на 30 секунд.

Эта функция позволяет работодателям следить, действительно ли их персонал слушает конференцию, или, действительно ли следят за учебной презентацией учащиеся.

Продажа данных пользователей

Motherboard сообщает, что Zoom отправляет данные пользователей, собранные iOS-приложением, в Facebook для использования в рекламных целях, даже если у пользователя нет страницы на Facebook.

В ответ на это сообщение Zoom изменил некоторые положения своей политики конфиденциальности и заявил в четверг, что компания «никогда не продавала данные пользователей в прошлом и также не собирается делать этого впредь». Но доклад Motherboard был упомянут в поданном на этой неделе судебном иске, рассматриваемом федеральным судом Калифорнии. Zoom обвиняется в нарушении «надлежащих мер защиты персональной информации миллионов пользователей» платформы.

Этот изъян приватности был также упомянут в письме генпрокурора Летиции Джеймс, которая отметила, что подобные нарушения приватности могут вызвать особую обеспокоенность в связи с тем, что школы внедряют Zoom для занятий.

«Хотя Zoom исправил конкретные названные нарушения в своей системе безопасности, мы бы хотели понять, насколько тщательно корпорация пересмотрела свои практики обеспечения безопасности в целом», – говорится в письме.

***

17 апреля 2020 года.

Мы решили расширить текст материалом от Сheckpoint, переведённым нашим коллегой под псевдонимом Evmaks, которого вы, вероятно, помните по нашумевшему расследованию LC о фальсификации результатов электронного голосования на выборах в Мосгордуму.

***

Кто кого зумит? Инструкция по безопасному использованию Zoom.

Ссылка на источник.

Последние пару недель COVID-19 является основной причиной того, что миллионы людей по всему миру вынуждены сидеть дома, вместо того, чтобы ездить на работу или встречаться с друзьями и близкими. По очень приблизительным оценкам, порядка 50% работников, в связи с этой ситуацией, пытаются работать удалённо. Ценность платформ онлайн-коммуникации в обеспечении личных и деловых взаимодействий резко выросла, и Zoom, обладая долей рынка в 20%, является одной из наиболее важных платформ такого типа.

Как и у любой популярной технологии, рядом с преимуществами и фичами идут риски. На слуху угрозы несанкционированного подключения сторонних лиц к приватным митингам и разговорам, что впоследствии может привести к утечкам персональных и конфиденциальных данных. Об угрозах такого рода сообщал Check Point Research (центр исследований компании Check Point).

Итак, как же мы можем использовать все возможности Zoom, не подвергая при этом угрозе свои данные? Ниже несколько советов.

 1. Обновляйтесь

Для обеспечения максимального уровня защищенности, необходимо использовать приложение Zoom последней версии. Обновления, которые распространяют разработчики приложений, содержат не только новые возможности и фичи. Наиболее важная их часть – это исправления багов и угроз безопасности. Например, таких, как возможность находить чужие конференции и подключаться к ним. Важно понять, что угроза безопасности исправлена не тогда, когда разработчики выявили уязвимость и написали патчи, её закрывающие. А только тогда, когда пользователи установили обновление для приложения, содержащее в себе эти патчи. Это значит, что до момента, пока вы не обновили своё приложение – вы уязвимы.

2. Использование логина и пароля

Наши исследования показывают, что с помощью генерации случайных последовательностей, можно подобрать URL адрес Zoom конференции и проникнуть в неё без подтверждения со стороны владельца беседы. Такая схема работает с конференциями, в которых банально не был установлен пароль, дающий возможность для подключения. Zoom отреагировал на публикацию сообщений о подобных случаях, и на сегодняшний день опция защиты паролем при создании конференции включена по умолчанию.

Требование ввода пароля и указания ID конференции при подключении нового участника обеспечивает достаточный уровень безопасности.

 

Теперь поговорим о том, как правильно рассылать приглашения на митинги. Наиболее безопасный способ – отправлять участникам пароль, необходимый для подключения, и ID конференции (Meeting ID). Есть и другой способ – это рассылка инвайт-URL ссылок тем, кого необходимо подключить к беседе. Ссылку можно сгенерировать, нажав «Invite» в нижней части экрана, затем «Copy URL» или «Copy Invite». Данный метод плох тем, что по таким ссылкам пользователи смогут подключаться без ввода пароля и ID конференции. Необходимо внимательно контролировать распространение инвайт-ссылок, а ещё лучше – избегать их использования. Дополнительно мы рекомендуем подключать корпоративных пользователей к Zoom через SSO.

Ещё один вариант контроля новых подключений – функционал «Waiting Room». Владелец конференции создает так называемую «комнату ожидания», в которую на карантин попадают вновь подключившиеся пользователи. В основную конференцию они смогут перейти только после одобрения их аккаунтов владельцем конференции. Опция включается в выпадающем меню «Advanced Options» в окне создания конференции.

 3. Управляй участниками во время разговора

Владелец конференции в процессе общения может управлять действиями участников – существует возможность замьютить видео или звук, например. Так что, даже используя небезопасный вариант подключения с рассылкой инвайт-ссылок, всегда можно успеть отключить неожиданно подключившегося нарушителя до того, как он что-то успеет показать в камеру.

4. Позаботься о том, что будет с твоими данными после выключения Zoom

Zoom позволяет записывать экран (делать скринкаст) конференции и экспортировать его видеофайлом после того, как конференция закончится. Инструмент полезный – так вы сможете легко и быстро разослать запись тем, кто на конференции присутствовать не смог. Угроза безопасности (в виде риска утечки данных) тут лежит на поверхности – раз участники имеют возможность записывать свои экраны, то и распространять эти записи они тоже могут.

Чтобы устранить подобный риск, владелец конференции должен отключить возможность скринкаста тем, кто его делать не должен. Это можно реализовать с помощью отключения опции «Allow Record» в окне управления участниками конференции.

Также всегда стоит помнить о том, что участники конференции могут записывать экран конференции и звук с помощью сторонних приложений или камеры смартфона. Всегда держите в уме, что вас могут записывать, и ведите себя соответственно.

Записывая через Zoom общение, содержащее конфиденциальную информацию (личного или коммерческого характера), не загружайте его на общедоступные облака и не рассылайте через открытые источники.

Zoom – отличная платформа для организации работы в непростые карантинные времена. Однако, как и с любым другим инструментом, важно осознавать риски, которые приносит его использование. Будьте внимательны и используйте доступный в приложении функционал, чтобы сделать своё общение максимально безопасным!