Thu phóng là một giải pháp hội nghị truyền hình đã trở nên rất phổ biến do sự xa cách xã hội do đại dịch COVID-19 gây ra. Kể từ khi phiên bản miễn phí của nó cho phép khắc phục các hạn chế gọi điện video nhóm WhatsApp, nó đã trở nên rất phổ biến đối với người dùng gia đình.
Các câu hỏi để thu phóng
Sự phổ biến đột ngột đó khiến các chuyên gia bảo mật máy tính (và một số tội phạm mạng khác) quan tâm đến quyền riêng tư và các tính năng bảo mật của nó.
Văn phòng tổng chưởng lý New York, Letitia James, đã gửi cho công ty một yêu cầu báo cáo những biện pháp bảo mật mới mà công ty đã áp dụng để xử lý lưu lượng truy cập ngày càng tăng trên mạng của mình và để phát hiện tội phạm mạng.
Đối với việc truy tố, công ty chịu trách nhiệm về dịch vụ chậm giải quyết các lỗi bảo mật như lỗ hổng bảo mật "Điều này có thể cho phép các bên thứ ba độc hại, trong số những thứ khác, có được quyền truy cập lén lút vào webcam của người tiêu dùng."
Tất cả bắt đầu với cuộc tấn công tăng cường bây giờ được gọi là “Zoombing."
Từ đó đề cập đến khai thác tính năng chia sẻ màn hình của Zoom để chiếm quyền điều khiển các cuộc họp và làm gián đoạn các buổi giáo dục hoặc đăng các thông điệp theo chủ nghĩa tối cao của người da trắng trong hội thảo trên web về chủ nghĩa bài Do Thái,
Các công tố viên bày tỏ lo ngại rằng:
Các phương pháp bảo mật hiện tại của Zoom có thể không đủ để đáp ứng sự gia tăng đột ngột gần đây về cả khối lượng và độ nhạy của dữ liệu truyền qua mạng của bạn.
Mặc dù họ thừa nhận rằng các lỗ hổng được phát hiện đã được sửa chữa, họ yêu cầu Zoom nếu bạn đã thực hiện đánh giá rộng hơn về các phương pháp bảo mật của mình.
Chia sẻ dữ liệu với Facebook
Một vài ngày trước, người ta phát hiện ra rằng ứng dụng khách Zoom cho iOS đã gửi dữ liệu tới Facebook. Điều này đã xảy ra ngay cả khi người dùng không có tài khoản trên mạng xã hội đó.
Nó có thể không phải là cố ý. Nhiều ứng dụng sử dụng bộ công cụ phát triển phần mềm (SDK) của Facebook làm phương tiện triển khai các tính năng trong ứng dụng của họ dễ dàng hơn.
Khi tải xuống và mở ứng dụng, Zoom sẽ kết nối với API đồ thị của Facebook. API Đồ thị là cách chính để các nhà phát triển lấy dữ liệu trên hoặc ngoài Facebook.
Ứng dụng Zoom đã thông báo cho Facebook khi người dùng mở ứng dụng, thông tin chi tiết về thiết bị của người dùng như kiểu máy, múi giờ và thành phố mà họ đang kết nối, hãng điện thoại họ đang sử dụng và số nhận dạng nhà quảng cáo duy nhất do thiết bị của người dùng tạo mà các công ty có thể sử dụng để nhắm mục tiêu người dùng bằng quảng cáo.
Thứ sáu cuối cùng, ứng dụng đã được cập nhật. Trong phiên bản mới việc sử dụng SDK đã được thay thế bằng cách xác thực trên Facebook bằng trình duyệt.
Các vấn đề về quyền riêng tư khác
Thu phóng cũng tcó vấn đề khác tiềm năng riêng tư. Người tổ chức cuộc gọi Thu phóng có thể xem liệu những người tham gia có mở cửa sổ Thu phóng hay không hay không, có nghĩa là họ có thể theo dõi xem mọi người có đang chú ý hay không. Quản trị viên cũng họ có thể xem địa chỉ IP, dữ liệu vị trí và thông tin thiết bị. Nếu người dùng ghi lại bất kỳ cuộc gọi nào thông qua Zoom, các quản trị viên có thể truy cập nội dung của cuộc gọi đã ghi đó, bao gồm các tệp video, âm thanh, phiên âm và trò chuyện, cũng như quyền truy cập để chia sẻ, phân tích và quản lý các đặc quyền đám mây. Quản trị viên cũng có thể tham gia bất kỳ cuộc gọi nào vào bất kỳ lúc nào theo sự thúc giục của tổ chức Zoom của họ mà không cần sự đồng ý trước hoặc thông báo để gọi những người tham dự.
Nếu bạn sử dụng máy Mac và đã cài đặt tính năng Zoom, bạn nên cẩn thận với những gì bạn làm trước máy ảnh. Jonathan Leitschuh, một nhà phân tích bảo mật, xuất bản hai liên kết từ đó Có thể từ một trang web để bật webcam của người dùng Mac mà không có sự đồng ý và biết của họ.
Tuy nhiên, mọi thứ không tốt hơn cho người dùng Windows. Qua chuyên gia an ninh mạng @ _g0dmode, Zoom cho Windows dễ bị tấn công lỗ hổng "chèn đường dẫn UNC" cổ điển có thể cho phép kẻ tấn công từ xa đánh cắp thông tin đăng nhập Windows nạn nhân và thậm chí chạy các lệnh tùy ý trên hệ thống của họ.
Các cuộc tấn công này có thể xảy ra vì Zoom cho Windows hỗ trợ các đường dẫn UNC từ xa chuyển đổi các URI không an toàn tiềm ẩn thành các siêu liên kết khi nhận được qua tin nhắn trò chuyện tới người nhận trong cuộc trò chuyện cá nhân hoặc nhóm.
Điều nghiêm trọng về tất cả những điều này là chúng ta đang nói về một dịch vụ đã có mặt trên thị trường được 9 năm và một ứng dụng là một trong những ứng dụng được tải xuống nhiều nhất trong cả hai cửa hàng ứng dụng.
Một vài ngày trước, trong Linux Adictos chúng tôi ôn tập một số giải pháp hội nghị truyền hình mã nguồn mở mà bạn có thể sử dụng.