Zum je rješenje za video konferencije koja je postala vrlo popularna zbog socijalnog distanciranja nametnutog pandemijom COVID-19. Budući da njegova besplatna verzija omogućuje prevladavanje ograničenja za grupne video pozive WhatsApp, postala je vrlo popularna među kućnim korisnicima.
Pitanja za zumiranje
Ta iznenadna popularnost dovela je stručnjake za računalnu sigurnost (i neki drugi kiber kriminalac) zanimajte se za njegove privatnosti i sigurnosne značajke.
Državno odvjetništvo u New Yorku Letitia James tvrtki je poslalo zahtjev da izvijestite koje su nove sigurnosne mjere poduzele za upravljanje povećanim prometom na svojoj mreži i za otkrivanje kiber kriminalaca.
Za tužiteljstvo, tvrtka odgovorna za uslugu sporo je rješavao sigurnosne nedostatke poput ranjivosti "Što bi zlonamjernim trećim stranama, između ostalog, moglo omogućiti tajni pristup potrošačkim web kamerama."
Sve je počelo sa napad pojačava sada poznat kao „Zoombombing."
Ta se riječ odnosi na iskorištavanjem Zoom-ove značajke dijeljenja zaslona za otmicu sastanaka i ometanje obrazovnih sesija ili objavljivanje bijelih supremacističkih poruka na webinaru o antisemitizmu,
Tužitelji izražavaju zabrinutost zbog:
Trenutne sigurnosne prakse Zooma možda neće biti dovoljne za prilagodbu nedavnom naglom povećanju volumena i osjetljivosti podataka koji prelaze vašom mrežom.
Iako priznaju da su otkrivene ranjivosti ispravljene, traže Zoom ako ste poduzeli širi pregled svojih sigurnosnih praksi.
Dijeljenje podataka s Facebookom
Prije nekoliko dana otkriveno je da Zoom klijent za iOS poslao je podatke na Facebook. Ovo se dogodilo čak i ako korisnik nije imao račun na toj društvenoj mreži.
Možda nije namjerno. Mnoge aplikacije koriste Facebook-ove pakete za razvoj softvera (SDK) kao sredstvo za lakšu implementaciju značajki u svoje aplikacije.
Prilikom preuzimanja i otvaranja aplikacije, Zoom bi se povezao s Facebookovim API-jem Graph. Grafički API glavni je način da programeri dođu do podataka na Facebooku ili izvan njega.
Aplikacija Zoom obavijestila je Facebook kada je korisnik otvorio aplikaciju, detalji korisnikovog uređaja, poput modela, vremenske zone i grada iz kojeg se povezuje, koju telefonsku tvrtku koristi i jedinstveni identifikator oglašivača koji je kreirao korisnički uređaj koje tvrtke mogu koristiti za ciljanje korisnika oglasima.
Posljednji petak, aplikacija je ažurirana. U novoj verziji zamijenjena je upotreba SDK-a autentifikacijom na Facebooku pomoću preglednika.
Ostali problemi s privatnošću
Zumiraj i tima drugih problema potencijali privatnosti. Domaćini Zoom poziva mogu vidjeti imaju li sudionici otvoren prozor Zoom ili ne, što znači da mogu nadzirati hoće li ljudi vjerojatno obratiti pažnju. Administratori također mogu vidjeti IP adresu, podatke o lokaciji i podatke o uređaju. Ako korisnik zabilježi bilo koji poziv putem zumiranja, administratori mogu pristupiti sadržaju snimljenog poziva, uključujući video, audio, datoteke transkripcije i chata, kao i pristup razmjeni, analizi i upravljanju privilegijama u oblaku. Administratori također imaju mogućnost pridružiti se bilo kojem pozivu u bilo kojem trenutku na nagovor svoje organizacije Zoom, bez prethodnog pristanka ili obavijesti da pozovu sudionike.
Ako koristite Mac i instaliran je Zoom, budite oprezni što radite ispred kamere. Jonathan Leitschuh, sigurnosni analitičar, objavio dvije poveznice iz kojih Web kamera korisnika Maca može se uključiti s web stranice bez njihovog pristanka i znanja.
Ali, stvari za korisnike Windows-a nisu bolje. po stručnjak za cybersecurity @ _g0dmode, Zoom za Windows ranjiv je na klasična ranjivost "UNC path injection" koja bi mogla omogućiti udaljenim napadačima da ukradu vjerodajnice za prijavu Windows žrtve i čak pokreću proizvoljne naredbe na svojim sustavima.
Ti su napadi mogući jer Zoom za Windows podržava udaljene UNC staze koje pretvaraju potencijalno nesigurne URI-je u hiperveze kada ih primaju putem chat poruka putem osobnog ili grupnog chata.
Ozbiljna stvar u svemu ovome je da govorimo o usluzi koja je na tržištu već 9 godina i aplikaciji koja je jedna od najpreuzimanijih u obje trgovine aplikacija.
Prije nekoliko dana, u Linux Adictos pregledamo neka rješenja za video konferencije otvorenog koda koja možete koristiti.