A nagyítás az videokonferencia-megoldás amely a COVID-19 járvány által kiváltott társadalmi távolságtartás miatt vált nagyon népszerűvé. Mivel ingyenes verziója lehetővé teszi a WhatsApp csoportos videohívások korlátozásainak leküzdését, nagyon népszerűvé vált az otthoni felhasználók körében.
A Zoom kérdései
Ez a hirtelen népszerűség vezette a számítógépes biztonsági szakértőket (és néhány más számítógépes bűnöző) érdeklődjön az adatvédelmi és biztonsági jellemzői iránt.
A New York-i legfőbb ügyészség, Letitia James kérelmet küldött a társaságnak számoljon be arról, hogy a vállalat milyen új biztonsági intézkedéseket hozott a hálózatán a megnövekedett forgalom kezelése és az internetes bűnözők felderítése érdekében.
Az ügyészség számára a szolgáltatásért felelős cég lassan orvosolta a biztonsági hibákat, például a sebezhetőségeket "Ez lehetővé teheti a rosszindulatú harmadik felek számára, hogy többek között titokban hozzáférjenek a fogyasztói webkamerákhoz."
Az egész azzal kezdődött a támadás fokozza a „Zoombombing” nevet."
Ez a szó a a Zoom képernyőmegosztási funkciójának kihasználása az értekezletek eltérítésére és az oktatási foglalkozások megzavarására vagy fehér szupremácista üzenetek közzététele az antiszemitizmusról szóló webináriumban,
Az ügyészek aggodalmukat fejezik ki a következők miatt:
A Zoom jelenlegi biztonsági gyakorlata nem biztos, hogy elegendő a hálózaton áthaladó adatok mennyiségének és érzékenységének hirtelen növekedéséhez.
Bár elismerik, hogy a feltárt sérülékenységeket kijavították, megkérdezik a Zoomot ha szélesebb körű felülvizsgálatot végzett biztonsági gyakorlatairól.
Adatok megosztása a Facebook-szal
Néhány nappal ezelőtt kiderült, hogy az iOS-hez készült Zoom kliens adatokat küldött a Facebooknak. Ez történt még akkor is, ha a felhasználónak nem volt fiókja az adott közösségi hálózaton.
Lehet, hogy nem szándékos. Számos alkalmazás a Facebook szoftverfejlesztő készleteit (SDK-k) használja a szolgáltatások egyszerűbb megvalósításának eszközeként.
Az alkalmazás letöltésekor és megnyitásakor a Zoom csatlakozik a Facebook Graph API-hoz. A Graph API a fejlesztők legfőbb módja az adatok megszerzésére a Facebookon vagy a Facebookon kívül.
A Zoom alkalmazás értesítette a Facebookot amikor a felhasználó megnyitotta az alkalmazást, a felhasználó eszközének részleteit, például a modellt, az időzónát és a várost, ahonnan csatlakoznak, melyik telefoncéget használják, valamint a felhasználó készüléke által létrehozott egyedi hirdetőazonosítót amelyet a vállalatok felhasználhatnak hirdetésekkel a felhasználók megcélzásához.
Az utolsó péntek, az alkalmazást frissítettük. Az új verzióban az SDK használatát lecserélték a böngésző segítségével történő Facebook-hitelesítéssel.
Egyéb adatvédelmi kérdések
Nagyítás is tegyéb problémái vannak adatvédelmi lehetőségek. A Zoom hívások házigazdái láthatják, hogy a résztvevők nyitva vannak-e a Zoom ablakban vagy sem, ami azt jelenti figyelemmel kísérhetik, hogy az emberek valószínűleg odafigyelnek-e. Rendszergazdák is megtekinthetik az IP-címet, a helyadatokat és az eszköz adatait. Ha egy felhasználó bármilyen hívást rögzít a Zoom segítségével, az adminisztrátorok hozzáférhet a rögzített hívás tartalmához, beleértve a video-, audio-, átírási és csevegési fájlokat, valamint hozzáférést biztosít a felhőjogosultságok megosztásához, elemzéséhez és kezeléséhez. Az adminisztrátorok bármikor csatlakozhatnak bármelyik híváshoz a Zoom szervezetük felszólítására, előzetes beleegyezés vagy értesítés nélkül a résztvevők hívására.
Ha Mac rendszert használ, és a Zoom telepítve van, akkor ügyeljen arra, hogy mit tesz a kamera előtt. Jonathan Leitschuh, biztonsági elemző, tette közzé két link, amelyből A Mac-felhasználók webkamerája beleegyezésük és tudomásuk nélkül bekapcsolható egy webhelyről.
De a dolgok nem jobbak a Windows-felhasználók számára. Által kiberbiztonsági szakértő @ _g0dmode, A Windows nagyítása sebezhető a klasszikus „UNC elérési út injekció” biztonsági rés, amely lehetővé teheti a távoli támadók számára a bejelentkezési adatok ellopását A Windows áldozatai, sőt önkényes parancsokat is futtathatnak rendszereiken.
Ezek a támadások azért lehetségesek, mert a Windows Zoom támogatja a távoli UNC elérési utakat, amelyek a potenciálisan nem biztonságos URI-kat hiperhivatkozássá alakítják, amikor csevegőüzeneteken keresztül fogadják őket egy címzettnek személyes vagy csoportos csevegésben.
Az egészben az a komoly, hogy egy olyan szolgáltatásról beszélünk, amely 9 éve van a piacon, és egy olyan alkalmazásról, amely mindkét alkalmazásboltban az egyik legtöbbet letöltött.
Néhány napja, ben Linux Adictos áttekintjük néhány használható nyílt forráskódú videokonferencia-megoldás.