W ostatnim czasie, gdy użycie platform do współpracy i konferencji wideo poszybowało w górę, na popularności zyskała aplikacja Zoom. Próbuje ona wstrzelić się w kategorię definiowaną przez Microsoft Teams i Slack. I chociaż w pewnym stopniu jej się to udaje, to wielu użytkowników odstręcza pewna jego fundamentalna wada — problem z ochroną prywatności. I to właściwie nie jeden problem, lecz cały ich wachlarz.
Pod koniec marca informowaliśmy, że Zoom dzielił się danymi z Facebookiem nawet u osób nieposiadających konta na tym portalu. Zoom zakończył te praktyki i wydawałoby się, że wszystko wróciło do normy. Niestety nie. W ostatnich dniach, gdy aplikacja stała się lepiej rozpoznawalna, na jaw zaczęły wychodzić kolejne fakty. Pokrótce je teraz omówimy.
Połączenia w Zoom nie są w całości szyfrowane
Według raportu autorstwa The Intercept spotkania w Zoom nie posiadają szyfrowania end-to-end, mimo iż producent tak je reklamuje. Zoom korzysta z TLS, który jest podobny do protokołu HTTPS używanego w przeglądarkach. Zasadniczo oznacza to, że połączenie z serwerem jest bezpieczne, ale połączenie może zostać odszyfrowane i podsłuchane. Prawdziwe szyfrowanie end-to-end oznaczałoby, że jedynie uczestnicy połączenia (czyli posiadacze kluczy) mogą je odszyfrować. Zoom przeprosił za używanie tego nieadekwatnego terminu.
Podatność w Zoom pozwala wykraść dane logowania Windows
Pod koniec marca została ujawniona podatność, którą odkrył niejaki @_g0dmode, zaś opisał Bleeping Computer. Luka miała być łatwa do zaatakowania exploitem. Wystarczyło, że użytkownik czatu w Zoom kliknął złośliwy link. Aplikacja konwertowała bowiem wszystkie linki na "klikalne", nawet gdy zawierały ścieżki sieciowe. Gdy uczestnik czatu kliknął łącze, Windows automatycznie próbował zalogować się do tego zasobu, przesyłając nazwę użytkownika i hash hasła NTLM, które można łatwo scrackować, np. poprzez narzędzie Hashcat.
Zoom może załatać podatność, wyłączając konwersję linków ze ścieżkami sieciowymi, a administratorzy sieci mogą wyłączyć automatyczne wysyłanie danych uwierzytelniania poprzez zmianę jednej z zasad grupy. Użytkownicy domowi mogą natomiast dokonać zmiany w rejestrze systemu.
Wyciek adresów e-mail i zdjęć oraz możliwość połączeń z nieznajomymi
Kolejny raport o wadliwym działaniu Zoom opublikował Vice. Według jego doniesień aplikacja doprowadza do wycieku adresów mailowych i zdjęć użytkowników, a także pozwala niektórym użytkownikom zainicjować połączenia wideo z nieznajomymi. Jest to efektem sposobu, w jaki aplikacja obsługuje kontakty, które postrzega jako należące do tej samej organizacji. Chodzi konkretnie o funkcjonalność "Company Directory". Pozwala ona łatwo wyszukiwać i łączyć się z ludźmi z tej samej firmy. Problem w tym, że Zoom traktuje niektóre prywatne domeny, jak gdyby były częścią firmy i w efekcie użytkownikom wyświetlają się tysiące nieznajomych kontaktów wraz z ich danymi osobowymi.
Zoom zobowiązał się, że w ciągu następnych 90 dni użyje wszystkich swoich zasobów, by lepiej identyfikować, adresować i naprawiać usterki związane z prywatnością i bezpieczeństwem. Przez ten czas nie będzie dodawał żadnych nowych funkcji.
Wyciek danych z profilów LinkedIn
Na trop tego buga związanego z data miningiem wpadł The New York Times. Podatność dotyka tych, którzy subskrybują usługę LinkedIn Sales Navigator. Po jej włączeniu mogą uzyskać dostęp do danych z LinkedIn każdego podczas połączenia — bez jego wiedzy. Dane te obejmują lokalizację, nazwy pracodawców i nazwy stanowisk. W tym przypadku Zoom zadziałał szybko i wyłączył wadliwą funkcjonalność. W oświadczeniu firma napisała, że traktuje prywatność użytkowników "ekstremalnie poważnie". LinkedIn oświadczył z kolei NYT, że pracuje nad "ułatwieniem użytkownikom zrozumienia ich wyborów dotyczących tego, jakie informacje udostępniają".
Dalsze konsekwencje
Powyższe przykłady nie wyczerpują w całości tematu. Zoom nadal jest w wielu aspektach niedopracowany, czego efektem jest choćby plaga "zoombombingu", czyli wbijania się złośliwych użytkowników na pozornie zamknięte spotkania wideo i transmitowania na nich niepożądanych treści, np. materiałów pornograficznych podczas lekcji online. Zoom ma teraz szansę wykazać, że jego obietnice poważnego traktowania prywatności nie są tylko pustymi słowami. Same luki w zabezpieczeniach nie dyskwalifikują wszak aplikacji (bo ma je praktycznie każdy produkt), a ich szybkie łatanie może wręcz przysporzyć wydawcy renomy.
Mimo tych zapewnień nie wszystkim uśmiecha się korzystanie z niezałatanego jeszcze produktu i trudno im się dziwić. Przykładem jest firma SpaceX należące do Elona Muska. Jak donosi Reuters, przedsiębiorstwo przemysłu kosmicznego wysłało 28 marca maila do pracowników, w którym podaje, że dostęp do Zoom został całkowicie wyłączony ze skutkiem natychmiastowym. Rozumiemy, że wielu z nas używało tego narzędzia do obsługi konferencji i spotkań. Prosimy, używajcie e-maila, [wiadomości] tekstowych albo telefonu jako alternatywnych środków komunikacji — pisało kierownictwo SpaceX. Z drugiej strony Zoom zdobył sporą popularność w szkołach i według niedawnych danych używa go ponad 90 tysięcy szkół w 20 krajach. Ogólna liczba użytkowników przekroczyła niedawno 200 milionów.
341f31d.png)