Масштабирование решение для видеоконференцсвязи который стал очень популярным из-за социального дистанцирования, вызванного пандемией COVID-19. Поскольку его бесплатная версия позволяет преодолеть ограничения групповых видеозвонков WhatsApp, она стала очень популярной среди домашних пользователей.
Вопросы к Zoom
Эта внезапная популярность привела к тому, что эксперты по компьютерной безопасности (и еще какой-то киберпреступник) интересоваться его функциями конфиденциальности и безопасности.
Офис генерального прокурора Нью-Йорка Летиция Джеймс направила компании запрос, чтобы Сообщите, какие новые меры безопасности ввела компания для обработки увеличившегося трафика в своей сети и для обнаружения киберпреступников.
Для обвинения фирма, ответственная за услугу медленно устранял недостатки безопасности, такие как уязвимости «Что может позволить злоумышленникам, среди прочего, получить тайный доступ к пользовательским веб-камерам».
Все началось с усиление атаки, теперь известное как «Зумомбирование».
Это слово относится к использование функции совместного использования экрана Zoom для захвата собраний и срыва учебных занятий или размещение сообщений сторонников превосходства белой расы на веб-семинаре по антисемитизму,
Прокуратура выражает обеспокоенность тем, что:
Текущие методы обеспечения безопасности Zoom могут оказаться недостаточными для удовлетворения недавнего внезапного увеличения как объема, так и чувствительности данных, передаваемых по вашей сети.
Хотя они признают, что обнаруженные уязвимости были исправлены, они спрашивают Zoom если вы предприняли более широкий обзор своих методов обеспечения безопасности.
Обмен данными с Facebook
Несколько дней назад было обнаружено, что клиент Zoom для iOS отправлял данные в Facebook. Это произошло даже если у пользователя не было учетной записи в этой социальной сети.
Это может быть не умышленно. Многие приложения используют комплекты разработки программного обеспечения (SDK) Facebook как средство упрощения реализации функций в своих приложениях.
При загрузке и открытии приложения Zoom подключается к Facebook Graph API.. Graph API - это основной способ, с помощью которого разработчики получают данные на Facebook и за его пределами.
Приложение Zoom уведомило Facebook когда пользователь открыл приложение, сведения об устройстве пользователя, такие как модель, часовой пояс и город, из которого они подключаются, телефонную компанию, которую они используют, и уникальный идентификатор рекламодателя, созданный устройством пользователя. которые компании могут использовать для таргетинга рекламы на пользователя.
Последняя пятница, приложение было обновлено. В новой версии заменено использование SDK путем аутентификации на Facebook с помощью браузера.
Другие проблемы с конфиденциальностью
Увеличить также tесть другие проблемы потенциал конфиденциальности. Организаторы вызовов Zoom могут видеть, открыто ли у участников окно Zoom. или нет, что означает, что они могут отслеживать, будут ли люди обращать внимание. Администраторы также они могут видеть IP-адрес, данные о местоположении и информацию об устройстве. Если пользователь записывает любой звонок через Zoom, администраторы может получить доступ к содержимому записанного звонка, включая файлы видео, аудио, транскрипции и чата, а также доступ к совместному использованию, анализу и управлению облачными привилегиями. Администраторы также имеют возможность присоединиться к любому вызову в любое время по требованию своей организации Zoom без предварительного согласия или уведомления о вызове участников.
Если вы используете Mac и у вас установлен Zoom, вы должны быть осторожны с тем, что вы делаете перед камерой. Джонатан Лейтшу, аналитик по безопасности, опубликованный две ссылки, из которых с веб-сайта можно включить веб-камеру пользователей Mac без их согласия и ведома.
Но для пользователей Windows дела обстоят не лучше. По эксперт по кибербезопасности @ _g0dmode, Zoom для Windows уязвим для классическая уязвимость UNC-пути, которая может позволить удаленным злоумышленникам украсть учетные данные Жертвы Windows и даже запускают произвольные команды в своих системах.
Эти атаки возможны, поскольку Zoom для Windows поддерживает удаленные UNC-пути, которые преобразуют потенциально небезопасные URI в гиперссылки при получении в сообщениях чата получателю в личном или групповом чате.
Серьезным во всем этом является то, что мы говорим об услуге, которая существует на рынке уже 9 лет, и о приложении, которое является одним из самых загружаемых в обоих магазинах приложений.
Несколько дней назад в Linux Adictos мы рассматриваем некоторые решения для видеоконференцсвязи с открытым исходным кодом, которые вы можете использовать.