Το ζουμ είναι λύση τηλεδιάσκεψης που έγινε πολύ δημοφιλής μετά την κοινωνική απόσταση που επιβλήθηκε από την πανδημία COVID-19. Δεδομένου ότι η δωρεάν έκδοσή του σάς επιτρέπει να ξεπεράσετε τους περιορισμούς των ομαδικών βιντεοκλήσεων WhatsApp, έγινε πολύ δημοφιλής στους οικιακούς χρήστες.
Ερωτήσεις για ζουμ
Αυτή η ξαφνική δημοτικότητα οδήγησε τους ειδικούς σε θέματα ασφάλειας υπολογιστών (και ο περιστασιακός εγκληματίας στον κυβερνοχώρο) ενδιαφέρεται για τα χαρακτηριστικά απορρήτου και ασφάλειας.
Το γραφείο της γενικής εισαγγελίας της Νέας Υόρκης, Λετίθια Τζέιμς, έστειλε αίτημα στην εταιρεία Ενημερώστε με ποια νέα μέτρα ασφαλείας έχει λάβει η εταιρεία για να χειριστεί την αύξηση της επισκεψιμότητας στο δίκτυό σας και να εντοπίσει εγκληματίες στον κυβερνοχώρο.
Για την εισαγγελία, η αρμόδια εταιρεία για την υπηρεσία άργησε να αντιμετωπίσει ελαττώματα ασφαλείας, όπως τρωτά σημεία "το οποίο θα μπορούσε να επιτρέψει σε κακόβουλα τρίτα μέρη, μεταξύ άλλων, να αποκτήσουν κρυφή πρόσβαση σε κάμερες ιστού καταναλωτών."
όλα ξεκίνησαν με η επίθεση αυξάνεται τώρα γνωστή ως «Zoombombing."
Αυτή η λέξη αναφέρεται στο αξιοποίηση της δυνατότητας κοινής χρήσης οθόνης του Zoom για την παραβίαση συσκέψεων και τη διακοπή των εκπαιδευτικών συνεδριών ή δημοσιεύοντας μηνύματα λευκής υπεροχής σε ένα διαδικτυακό σεμινάριο για τον αντισημιτισμό,
Οι εισαγγελείς εκφράζουν ανησυχία ότι:
Οι τρέχουσες πρακτικές ασφαλείας του Zoom ενδέχεται να μην επαρκούν για να αντιμετωπίσουν την πρόσφατη αύξηση τόσο του όγκου όσο και της ευαισθησίας των δεδομένων που διέρχονται από το δίκτυό του.
Αν και αναγνωρίζουν ότι τα τρωτά σημεία που εντοπίστηκαν έχουν διορθωθεί, ρωτούν το Zoom εάν έχετε προβεί σε μια ευρύτερη αναθεώρηση των πρακτικών ασφαλείας σας.
Κοινή χρήση δεδομένων με το Facebook
Πριν λίγες μέρες διαπιστώθηκε ότι ο πελάτης Zoom για iOS έστελνε δεδομένα στο Facebook. Αυτό συνέβη ακόμα κι αν ο χρήστης δεν είχε λογαριασμό σε αυτό το κοινωνικό δίκτυο.
Μπορεί να μην είναι σκόπιμη. Πολλές εφαρμογές χρησιμοποιούν τα SDK του Facebook ως μέσο για την πιο εύκολη εφαρμογή λειτουργιών στις εφαρμογές τους.
Κατά τη λήψη και το άνοιγμα της εφαρμογής, το Zoom συνδεόταν με το Graph API του Facebook. Το Graph API είναι ο κύριος τρόπος με τον οποίο οι προγραμματιστές λαμβάνουν δεδομένα εντός ή εκτός του Facebook.
Η εφαρμογή Zoom ειδοποίησε το Facebook όταν ο χρήστης άνοιξε την εφαρμογή, λεπτομέρειες της συσκευής του χρήστη, όπως το μοντέλο, η ζώνη ώρας και η πόλη από την οποία συνδέεται ο χρήστης, ποια εταιρεία τηλεφώνου χρησιμοποιεί και ένα μοναδικό αναγνωριστικό διαφημιστή που δημιουργήθηκε από τη συσκευή του χρήστη που μπορούν να χρησιμοποιήσουν οι εταιρείες για να στοχεύσουν έναν χρήστη με διαφημίσεις.
Την τελευταία Παρασκευή, η εφαρμογή ενημερώθηκε. στη νέα έκδοση αντικαταστάθηκε η χρήση του SDK με έλεγχο ταυτότητας στο Facebook χρησιμοποιώντας το πρόγραμμα περιήγησης.
Άλλα ζητήματα απορρήτου
Ζουμάρετε και εσείςέχουν άλλα προβλήματα δυνατότητες προστασίας της ιδιωτικής ζωής. Οι οικοδεσπότες κλήσεων ζουμ μπορούν να δουν εάν οι συμμετέχοντες έχουν ανοιχτό το παράθυρο ζουμ ή όχι, που σημαίνει μπορούν να παρακολουθούν εάν οι άνθρωποι είναι πιθανό να δίνουν προσοχή. διαχειριστές επίσης μπορούν να δουν τη διεύθυνση IP, τα δεδομένα τοποθεσίας και τις πληροφορίες της συσκευής. Εάν ένας χρήστης καταγράφει οποιεσδήποτε κλήσεις μέσω του Zoom, οι διαχειριστές μπορεί να έχει πρόσβαση στα περιεχόμενα αυτής της ηχογραφημένης κλήσης, συμπεριλαμβανομένων αρχείων βίντεο, ήχου, μεταγραφής και συνομιλίας, καθώς και πρόσβαση σε προνόμια κοινής χρήσης, ανάλυσης και διαχείρισης cloud. Οι διαχειριστές έχουν επίσης τη δυνατότητα να συμμετέχουν σε οποιαδήποτε κλήση ανά πάσα στιγμή κατόπιν εντολής του οργανισμού τους Zoom, χωρίς προηγούμενη συγκατάθεση ή ειδοποίηση για να καλέσουν τους συμμετέχοντες.
Εάν χρησιμοποιείτε Mac και έχετε εγκατεστημένο το Zoom, θα πρέπει να προσέχετε τι κάνετε μπροστά στην κάμερα. Jonathan Leitschuh, αναλυτής ασφαλείας, δημοσιευθεί δύο συνδέσμους από τους οποίους είναι δυνατό από έναν ιστότοπο να ενεργοποιήσετε την κάμερα των χρηστών Mac χωρίς τη συγκατάθεση και τη γνώση τους.
Όμως, τα πράγματα δεν είναι καλύτερα για τους χρήστες των Windows. Με ειδικός στην ασφάλεια στον κυβερνοχώρο @_g0dmode, το Zoom για Windows είναι ευάλωτο σε α κλασική ευπάθεια "UNC path injection" που θα μπορούσε να επιτρέψει σε απομακρυσμένους εισβολείς να κλέψουν τα διαπιστευτήρια σύνδεσης των Windows των θυμάτων και ακόμη και να εκτελούν αυθαίρετες εντολές στα συστήματά τους.
Αυτές οι επιθέσεις είναι δυνατές επειδή το Zoom για Windows υποστηρίζει απομακρυσμένες διαδρομές UNC που μετατρέπουν δυνητικά μη ασφαλή URI σε υπερσυνδέσμους όταν λαμβάνονται μέσω μηνυμάτων συνομιλίας σε έναν παραλήπτη σε προσωπική ή ομαδική συνομιλία.
Το σοβαρό με όλα αυτά είναι ότι μιλάμε για μια υπηρεσία που υπάρχει στην αγορά εδώ και 9 χρόνια και μια εφαρμογή που είναι από τις πιο λήψεις και στα δύο καταστήματα εφαρμογών.
Πριν από λίγες μέρες, στο Linux Adictos αναθεωρούμε μερικές λύσεις τηλεδιάσκεψης ανοιχτού κώδικα που μπορείτε να χρησιμοποιήσετε.