Zum adalah penyelesaian persidangan video yang menjadi sangat popular kerana jarak sosial yang dikenakan oleh wabak COVID-19. Oleh kerana versi percuma membolehkan mengatasi had panggilan video kumpulan WhatsApp, ia menjadi sangat popular di kalangan pengguna rumah.
Soalan-soalan kepada Zoom
Populariti tiba-tiba itu menyebabkan pakar keselamatan komputer (dan beberapa penjenayah siber lain) berminat dengan ciri privasi dan keselamatannya.
Pejabat Peguam Negara New York, Letitia James, mengirimkan permintaan kepada syarikat itu laporkan langkah-langkah keselamatan baru yang telah dibuat syarikat untuk menangani peningkatan lalu lintas di rangkaiannya dan untuk mengesan penjenayah siber.
Bagi pihak pendakwaan, firma yang bertanggungjawab untuk perkhidmatan tersebut lambat menangani masalah keselamatan seperti kelemahan "Yang boleh memungkinkan pihak ketiga yang berniat jahat, antara lain, untuk mendapatkan akses secara diam-diam ke webcam pengguna."
Semuanya bermula dengan serangan meningkat sekarang dikenali sebagai "Zoombombing."
Perkataan itu merujuk kepada mengeksploitasi ciri perkongsian skrin Zoom untuk merampas mesyuarat dan mengganggu sesi pendidikan atau menyiarkan mesej supremasi kulit putih dalam webinar anti-Semitisme,
Pendakwa menyatakan kebimbangan bahawa:
Amalan keselamatan Zoom semasa mungkin tidak mencukupi untuk menampung peningkatan mendadak baru-baru ini dalam jumlah dan kepekaan data yang melewati rangkaian anda.
Walaupun mereka mengakui bahawa kelemahan yang dikesan telah diperbaiki, mereka meminta Zoom jika anda telah melakukan tinjauan lebih luas mengenai amalan keselamatan anda.
Berkongsi data dengan Facebook
Beberapa hari yang lalu didapati bahawa pelanggan Zoom untuk iOS menghantar data ke Facebook. Ini berlaku walaupun pengguna tersebut tidak mempunyai akaun di rangkaian sosial tersebut.
Ia mungkin tidak disengajakan. Banyak aplikasi menggunakan kit pengembangan perisian (SDK) Facebook sebagai kaedah untuk melaksanakan ciri dalam aplikasinya dengan lebih mudah.
Semasa memuat turun dan membuka aplikasi, Zoom akan menyambung ke Facebook Graph API. API Grafik adalah cara utama bagi pembangun untuk mendapatkan data di dalam atau di luar Facebook.
Aplikasi Zoom memberitahu Facebook semasa pengguna membuka aplikasi, perincian peranti pengguna seperti model, zon waktu dan kota dari mana mereka menghubungkan, syarikat telefon mana yang mereka gunakan, dan pengenal pengiklan unik yang dibuat oleh peranti pengguna yang boleh digunakan syarikat untuk menyasarkan pengguna dengan iklan.
Jumaat terakhir, aplikasi dikemas kini. Dalam versi baru penggunaan SDK diganti oleh pengesahan di Facebook menggunakan penyemak imbas.
Masalah privasi lain
Zum juga tmempunyai masalah lain potensi privasi. Hos panggilan Zum dapat melihat apakah peserta membuka tetingkap Zum atau tidak, yang bermaksud mereka dapat memantau sama ada orang cenderung memberi perhatian. Pentadbir juga mereka dapat melihat alamat IP, data lokasi dan maklumat peranti. Sekiranya pengguna merakam sebarang panggilan melalui Zoom, pentadbir dapat mengakses kandungan panggilan yang dirakam itu, termasuk fail video, audio, transkripsi dan sembang, serta akses untuk berkongsi, menganalisis dan mengurus hak istimewa awan. Pentadbir juga mempunyai kemampuan untuk menyertai sebarang panggilan pada bila-bila masa atas desakan organisasi Zoom mereka, tanpa persetujuan atau pemberitahuan terlebih dahulu kepada peserta panggilan.
Sekiranya anda menggunakan Mac dan memasang Zoom, anda harus berhati-hati dengan apa yang anda lakukan di hadapan kamera. Jonathan Leitschuh, seorang penganalisis keselamatan, diterbitkan dua pautan dari mana adalah mungkin dari laman web untuk menghidupkan kamera web pengguna Mac tanpa persetujuan dan pengetahuan mereka.
Tetapi, perkara tidak lebih baik untuk pengguna Windows. Oleh pakar keselamatan siber @ _g0dmode, Zoom untuk Windows terdedah kepada kerentanan 'suntikan jalan UNC' klasik yang membolehkan penyerang jarak jauh mencuri kelayakan masuk Mangsa Windows dan bahkan menjalankan perintah sewenang-wenang pada sistem mereka.
Serangan ini mungkin berlaku kerana Zoom untuk Windows menyokong laluan UNC jarak jauh yang mengubah URI yang berpotensi tidak selamat menjadi pautan hiper ketika diterima melalui mesej sembang kepada penerima dalam sembang peribadi atau kumpulan.
Perkara yang serius mengenai semua ini ialah kita membincangkan perkhidmatan yang telah berada di pasaran selama 9 tahun dan aplikasi yang merupakan salah satu yang paling banyak dimuat turun di kedua-dua kedai aplikasi.
Beberapa hari yang lalu, di Linux Adictos kami mengkaji beberapa penyelesaian persidangan video sumber terbuka yang boleh anda gunakan.