השאלות לזום מתרבות יותר ויותר

Diego Germán González

4 דקות

השאלות לזום

זום הוא פתרון ועידות וידאו שהפך פופולרי מאוד בגלל ההתרחקות החברתית שהטילה מגפת ה- COVID-19. מכיוון שהגרסה החינמית שלה מאפשרת להתגבר על מגבלות שיחות הווידיאו הקבוצתיות בוואטסאפ, היא הפכה פופולרית מאוד בקרב משתמשים ביתיים.

השאלות לזום

הפופולריות הפתאומית ההיא הובילה מומחים לאבטחת מחשבים (ועוד כמה פושעי רשת) להתעניין בתכונות הפרטיות והאבטחה שלו.

משרד התובע הכללי בניו יורק, לטיה ג'יימס, שלח לחברה בקשה כי לדווח אילו אמצעי אבטחה חדשים הציבה החברה בכדי לטפל בתנועה מוגברת ברשת שלה ולאיתור פושעי רשת.

עבור התביעה, המשרד האחראי על השירות היה איטי לטפל בפגמים ביטחוניים כגון פגיעות "מה שעלול לאפשר לצדדים שלישיים זדוניים, בין היתר, לקבל גישה חשאית למצלמות רשת צרכניות."

הכל התחיל עם מגדלי ההתקפה המכונים כיום "זומבומבינג."

מילה זו מתייחסת ל ניצול תכונת שיתוף המסך של זום לחטיפת פגישות ושיבוש מפגשים חינוכיים או פרסום הודעות עליונות לבנות בסמינר מקוון בנושא אנטישמיות,

התובעים מביעים דאגה מכך:

נוהלי האבטחה הנוכחיים של זום עשויים שלא להספיק בכדי להתאים את הגידול הפתאומי האחרון בנפח וברגישות הנתונים שעוברים ברשת שלך.

למרות שהם מודים שהפגיעויות שזוהו תוקנו, הם שואלים את זום אם ביצעת סקירה רחבה יותר של נוהלי האבטחה שלך.

שיתוף נתונים עם פייסבוק

לפני כמה ימים התגלה כי לקוח הזום עבור iOS שלח נתונים לפייסבוק. זה קרה גם אם למשתמש לא היה חשבון באותה רשת חברתית.

יתכן שזה לא מכוון. יישומים רבים משתמשים בערכות פיתוח תוכנה (SDK) של פייסבוק כאמצעי ליישום תכונות ביישומים שלהם ביתר קלות.

בעת הורדת האפליקציה ופתיחתה, זום יתחבר ל- API של הגרף של פייסבוק. ה- API של Graph הוא הדרך העיקרית שמפתחים מקבלים נתונים בפייסבוק ומחוצה להם.

אפליקציית זום הודיעה לפייסבוק כאשר המשתמש פתח את האפליקציה, פרטי מכשיר המשתמש כגון הדגם, אזור הזמן והעיר מהם הם מתחברים, איזו חברת טלפונים הם משתמשים, ומזהה מפרסם ייחודי שנוצר על ידי מכשיר המשתמש שחברות יכולות להשתמש בהן כדי למקד למשתמש מודעות.

ביום שישי האחרון, האפליקציה עודכנה. בגרסה החדשה השימוש ב- SDK הוחלף על ידי אימות בפייסבוק באמצעות הדפדפן.

בעיות פרטיות אחרות

זום גם tיש בעיות אחרות פוטנציאל פרטיות. מארחים של שיחות זום יכולים לראות אם למשתתפים חלון הזום פתוח או לא, כלומר הם יכולים לפקח אם אנשים עשויים לשים לב. גם מנהלי מערכת הם יכולים להציג את כתובת ה- IP, נתוני המיקום ופרטי המכשיר. אם משתמש מקליט שיחה כלשהי באמצעות זום, המנהלים יכול לגשת לתוכן השיחה שהוקלטה, כולל קבצי וידאו, שמע, תמלול וצ'ט, כמו גם גישה לשיתוף, ניתוח וניהול הרשאות ענן. למנהלי מערכת יש גם אפשרות להצטרף לכל שיחה בכל עת בדחיפת ארגון Zoom שלהם, ללא הסכמה מוקדמת או הודעה להתקשר למשתתפים.

אם אתה משתמש ב- Mac והתקנת זום, עליך להיזהר ממה שאתה עושה מול המצלמה. ג'ונתן לייטשוח, אנליסט ביטחוני, פורסם שני קישורים מהם ניתן מאתר להפעיל את מצלמת הרשת של משתמשי מקינטוש ללא הסכמתם וידיעתם.

אבל, הדברים לא טובים יותר עבור משתמשי Windows. על ידי מומחה אבטחת סייבר @ _g0dmode, זום עבור Windows פגיע ל- פגיעות קלאסית של 'הזרקת נתיב UNC' העלולה לאפשר לתוקפים מרוחקים לגנוב אישורי כניסה חלונות קורבנות ואף מריצים פקודות שרירותיות על מערכותיהם.

התקפות אלו אפשריות מכיוון ש- Zoom עבור Windows תומך בנתיבי UNC מרוחקים הממירים URI שעלולים להיות לא בטוחים להיפר-קישורים כאשר הם מתקבלים באמצעות הודעות צ'אט לנמען בצ'אט אישי או קבוצתי.

הדבר הרציני בכל זה הוא שאנחנו מדברים על שירות שקיים כבר 9 שנים ועל יישום שהוא אחד מהמורדים ביותר בשתי חנויות היישומים.

לפני כמה ימים, ב Linux Adictos אנו סוקרים בכמה פתרונות לשיחות ועידה בווידאו קוד פתוח תוכלו להשתמש.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.