Mastelis yra vaizdo konferencijų sprendimas kuris tapo labai populiarus dėl socialinio atsiribojimo, kurį įvedė COVID-19 pandemija. Kadangi jo nemokama versija leidžia įveikti „WhatsApp“ grupės vaizdo skambučių apribojimus, ji tapo labai populiari tarp namų vartotojų.
Klausimai priartinimui
Tas staigus populiarumas paskatino kompiuterių saugumo ekspertus (ir kai kurie kiti kibernetiniai nusikaltėliai) pasidomėkite jo privatumo ir saugumo funkcijomis.
Niujorko generalinė prokuratūra Letitia James išsiuntė įmonei prašymą pranešti, kokias naujas saugumo priemones įmonė įdiegė padidėjusiam srautui savo tinkle valdyti ir kibernetiniams nusikaltėliams aptikti.
Prokuratūrai įmonė, atsakinga už tarnybą lėtai spręsdavo tokius saugumo trūkumus kaip pažeidžiamumas "Tai galėtų leisti kenksmingoms trečiosioms šalims, be kita ko, slapta prieiti prie vartotojų interneto kamerų."
Viskas prasidėjo ataka sustiprina dabar vadinamą „Zoombombing."
Šis žodis reiškia išnaudojant „Zoom“ ekrano bendrinimo funkciją užgrobti susitikimus ir sutrikdyti edukacinius užsiėmimus arba paskelbti baltus suprematistinius pranešimus internetiniame seminare apie antisemitizmą,
Prokurorai reiškia susirūpinimą dėl to, kad:
Dabartinės „Zoom“ saugumo praktikos gali nepakakti, kad būtų galima atsižvelgti į staigų jūsų tinkle perduodamų duomenų kiekio ir jautrumo padidėjimą.
Nors jie pripažįsta, kad aptikti pažeidžiamumai buvo ištaisyti, jie klausia „Zoom“ jei atlikote platesnę savo saugumo praktikos apžvalgą.
Dalijimasis duomenimis su „Facebook“
Prieš kelias dienas buvo atrasta „iOS“ priartinimo klientas siuntė duomenis į „Facebook“. Tai nutiko net jei vartotojas neturėjo paskyros tame socialiniame tinkle.
Tai gali būti nesąmoninga. Daugelis programų naudoja „Facebook“ programinės įrangos kūrimo rinkinius (SDK) kaip priemonę funkcijoms lengviau įgyvendinti.
Atsisiųsdamas ir atidarydamas programą „Zoom“ prisijungė prie „Facebook“ grafikos API. „Graph API“ yra pagrindinis būdas kūrėjams gauti duomenis „Facebook“ ar ne.
„Zoom“ programa pranešė „Facebook“ kai vartotojas atidarė programą, išsami informacija apie vartotojo įrenginį, pvz., modelis, laiko juosta ir miestas, iš kurio jungiasi, kurią telefono kompaniją naudoja, ir unikalus reklamuotojo identifikatorius, sukurtas vartotojo įrenginyje kurią įmonės gali naudoti norėdami nukreipti vartotoją į skelbimus.
Paskutinis penktadienis programa buvo atnaujinta. Naujoje versijoje buvo pakeistas SDK naudojimas naudojant „Facebook“ autentifikavimą naudojant naršyklę.
Kiti privatumo klausimai
Padidinti taip pat tturi kitų problemų privatumo potencialą. Mastelio skambučių vedėjai gali pamatyti, ar dalyviams atidarytas mastelio keitimo langas ar ne, o tai reiškia jie gali stebėti, ar žmonės greičiausiai atkreips dėmesį. Administratoriai taip pat jie gali peržiūrėti IP adresą, vietos duomenis ir įrenginio informaciją. Jei vartotojas įrašo bet kurį skambutį per mastelį, administratoriai gali pasiekti įrašyto skambučio turinį, įskaitant vaizdo, garso, transkripcijos ir pokalbių failus, taip pat prieigą prie bendrinimo, analizavimo ir debesijos privilegijų valdymo. Administratoriai taip pat turi galimybę bet kuriuo metu prisijungti prie bet kokio skambučio, paraginę savo „Zoom“ organizaciją, be išankstinio sutikimo ar pranešimo skambinti dalyviams.
Jei naudojate „Mac“ ir turite „Zoom“ įdiegtą, turėtumėte būti atsargūs, ką darote priešais fotoaparatą. Jonathanas Leitschuhas, saugumo analitikas, visuomenės dvi nuorodos, iš kurių iš svetainės galima įjungti „Mac“ vartotojų internetinę kamerą be jų sutikimo ir žinios.
Tačiau „Windows“ vartotojams viskas nėra geriau. Pagal kibernetinio saugumo ekspertas @ _g0dmode, „Windows“ mastelio keitimas yra pažeidžiamas klasikinis „UNC kelio injekcijos“ pažeidžiamumas, kuris nuotoliniams užpuolikams gali leisti pavogti prisijungimo duomenis „Windows“ aukos ir netgi vykdo savavališkas komandas savo sistemose.
Šios atakos yra įmanomos, nes „Windows“ priartinimas palaiko nuotolinius UNC kelius, kurie potencialiai nesaugius URI konvertuoja į hipersaitus, kai gaunami pokalbio pranešimais su gavėju asmeniniame ar grupiniame pokalbyje.
Visa tai rimta tuo, kad kalbame apie paslaugą, kuri rinkoje buvo 9 metus, ir programą, kuri yra viena iš labiausiai atsisiunčiamų abiejose programų parduotuvėse.
Prieš kelias dienas, m Linux Adictos mes peržiūrime kai kuriuos atvirojo kodo vaizdo konferencijų sprendimus galite naudoti.