Zoom är en videokonferenslösning som blev mycket populärt efter den sociala distanseringen som infördes av covid-19-pandemin. Eftersom dess gratisversion låter dig övervinna begränsningar för WhatsApp-gruppvideosamtal, blev den mycket populär bland hemanvändare.
Frågorna till Zoom
Den plötsliga populariteten ledde till experter på datorsäkerhet (och en och annan cyberkriminell) intresserad av dess integritets- och säkerhetsfunktioner.
Kontoret för New York justitieminister Letitia James skickade företaget en begäran till Berätta för mig vilka nya säkerhetsåtgärder företaget har vidtagit för att hantera den ökade trafiken på ditt nätverk och för att upptäcka cyberbrottslingar.
För åklagaren, det företag som ansvarar för tjänsten var långsam med att åtgärda säkerhetsbrister såsom sårbarheter "som kan tillåta skadliga tredje parter, bland annat, att få tillgång till konsumentwebbkameror i smyg."
allt började med attacken ökar nu känd som "Zoombombing."
Det ordet syftar på utnyttja Zooms skärmdelningsfunktion för att kapa möten och störa utbildningssessioner eller posta vita supremacistiska meddelanden på ett webinar om antisemitism,
Åklagare uttrycker oro över att:
Zooms nuvarande säkerhetspraxis kanske inte är tillräcklig för att hantera den senaste ökningen av både volymen och känsligheten för data som passerar genom dess nätverk.
Även om de erkänner att de upptäckta sårbarheterna har åtgärdats, frågar de Zoom om du har gjort en bredare granskning av dina säkerhetsrutiner.
Dela data med Facebook
För några dagar sedan upptäcktes det Zoom-klienten för iOS skickade data till Facebook. detta hände även om användaren inte hade ett konto på det sociala nätverket.
Det kanske inte är avsiktligt. Många appar använder Facebooks SDK:er som ett sätt att enklare implementera funktioner i sina appar.
När du laddade ner och öppnade appen, ansluter Zoom till Facebooks Graph API. Graph API är det huvudsakliga sättet för utvecklare att få data inom eller utanför Facebook.
Zoom-appen meddelade Facebook när användaren öppnade appen, information om användarens enhet som modell, tidszon och stad som användaren ansluter från, vilket telefonbolag de använder och en unik annonsörsidentifierare skapad av användarens enhet som företag kan använda för att rikta in sig på en användare med annonser.
Den sista fredagen, appen uppdaterades. i den nya versionen ersatt användning av SDK genom en autentisering på Facebook med hjälp av webbläsaren.
Andra integritetsfrågor
Zooma också duhar andra problem integritetspotentialer. Zoomsamtalsvärdar kan se om deltagarna har zoomfönstret öppet eller inte, vilket betyder de kan övervaka om människor sannolikt är uppmärksamma. administratörer också de kan se IP-adressen, platsdata och enhetsinformation. Om en användare spelar in några samtal via Zoom, administratörerna kan komma åt innehållet i det inspelade samtalet, inklusive video-, ljud-, transkriptions- och chattfiler, samt tillgång till molndelning, analys och hanteringsprivilegier. Administratörer har också möjlighet att gå med i alla samtal när som helst på uppdrag av deras Zoom-organisation, utan föregående medgivande eller meddelande att ringa deltagare.
Om du använder en Mac och har Zoom installerat bör du vara försiktig med vad du gör framför kameran. Jonathan Leitschuh, en säkerhetsanalytiker, publicerade två länkar från vilka det är möjligt från en webbplats att slå på webbkameran för Mac-användare utan deras samtycke och vetskap.
Men saker är inte bättre för Windows-användare. Genom cybersäkerhetsexpert @_g0dmode, Zoom för Windows är sårbart för en klassisk "UNC path injection" sårbarhet som kan tillåta fjärrangripare att stjäla inloggningsuppgifter av offrens Windows och till och med köra godtyckliga kommandon på deras system.
Dessa attacker är möjliga eftersom Zoom för Windows stöder fjärranslutna UNC-vägar som konverterar potentiellt osäkra URI:er till hyperlänkar när de tas emot via chattmeddelanden till en mottagare i en personlig chatt eller gruppchatt.
Det allvarliga med allt detta är att vi pratar om en tjänst som har funnits på marknaden i 9 år och en applikation som är en av de mest nedladdade i båda applikationsbutikerna.
För några dagar sedan, i Linux Adictos vi granskar några videokonferenslösningar med öppen källkod som du kan använda.