Мащабирането е решение за видеоконферентна връзка което стана много популярно поради социалното дистанциране, наложено от пандемията COVID-19. Тъй като безплатната му версия позволява да се преодолеят ограниченията за групови видео разговори в WhatsApp, тя стана много популярна сред домашните потребители.
Въпросите към Zoom
Тази внезапна популярност доведе експертите по компютърна сигурност (и някои други киберпрестъпници) се интересувайте от неговите функции за поверителност и сигурност.
Прокуратурата в Ню Йорк Летиция Джеймс изпрати на компанията искане, че докладвайте какви нови мерки за сигурност е въвела компанията за справяне с увеличения трафик в мрежата си и за разкриване на киберпрестъпници.
За прокуратурата, фирмата, отговорна за услугата бавно се справяше с недостатъците на сигурността, като например уязвимости „Което може да позволи на злонамерени трети страни, наред с други неща, да получат скрит достъп до потребителски уеб камери.“
Всичко започна с атаката усилва сега известен като „Zoombombing."
Тази дума се отнася до използване на функцията за споделяне на екрана на Zoom, за да отвлече срещи и да наруши образователните сесии или публикуване на бели върховнически послания в уеб семинар за антисемитизма,
Прокурорите изразяват загриженост, че:
Настоящите практики за сигурност на Zoom може да не са достатъчни, за да отговорят на скорошното внезапно нарастване както на обема, така и на чувствителността на данните, преминаващи през вашата мрежа.
Въпреки че признават, че откритите уязвимости са коригирани, те питат Zoom ако сте предприели по-широк преглед на вашите практики за сигурност.
Споделяне на данни с Facebook
Преди няколко дни беше открито, че клиентът за увеличение за iOS изпраща данни до Facebook. Това се случи дори потребителят да няма акаунт в тази социална мрежа.
Може да не е умишлено. Много приложения използват комплектите за разработка на софтуер (SDK) на Facebook като средство за по-лесно внедряване на функции в техните приложения.
При изтегляне и отваряне на приложението Zoom ще се свърже с API на Graph на Facebook. API на Graph е основният начин, по който разработчиците получават данни във или извън Facebook.
Приложението Zoom уведоми Facebook когато потребителят отвори приложението, подробности за устройството на потребителя, като модел, часова зона и град, от който се свързва, коя телефонна компания използва, както и уникален идентификатор на рекламодателя, създаден от устройството на потребителя които компаниите могат да използват за насочване на потребител с реклами.
Последният петък, приложението беше актуализирано. В новата версия използването на SDK беше заменено чрез удостоверяване във Facebook с помощта на браузъра.
Други проблеми с поверителността
Увеличете също tима други проблеми възможности за поверителност. Домакините на Zoom повиквания могат да видят дали участниците имат отворен прозорец Zoom или не, което означава, че те могат да наблюдават дали хората вероятно ще обърнат внимание. Администратори също Те могат да преглеждат IP адреса, данните за местоположението и информацията за устройството. Ако потребител запише някакво обаждане чрез Zoom, администраторите може да има достъп до съдържанието на записаното повикване, включително видео, аудио, файлове с транскрипция и чат, както и достъп до споделяне, анализ и управление на облачните привилегии. Администраторите също имат възможността да се присъединят към всяко обаждане по всяко време по настояване на тяхната Zoom организация, без предварително съгласие или известие да се обадят на присъстващите.
Ако използвате Mac и имате инсталиран Zoom, трябва да внимавате какво правите пред камерата. Джонатан Leitschuh, анализатор на сигурността, той публикува две връзки, от които възможно е от уебсайт да включи уеб камерата на потребители на Mac без тяхното съгласие и знание.
Но нещата не са по-добри за потребителите на Windows. От експерт по киберсигурност @ _g0dmode, Zoom за Windows е уязвим към a класическа уязвимост „UNC path injection“, която може да позволи на отдалечените хакери да откраднат идентификационни данни за вход Жертвите на Windows и дори изпълняват произволни команди в техните системи.
Тези атаки са възможни, защото Zoom за Windows поддържа отдалечени UNC пътеки, които преобразуват потенциално опасни URI в хипервръзки, когато са получени чрез съобщения в чата до получател в личен или групов чат.
Сериозното във всичко това е, че говорим за услуга, която е на пазара от 9 години и приложение, което е едно от най-изтегляните и в двата магазина за приложения.
Преди няколко дни, в Linux Adictos преглеждаме някои решения за видеоконференции с отворен код, които можете да използвате.