В одном из самых быстрорастущих в мире на фоне пандемии приложений была обнаружена уязвимость, из-за которой могут возникнуть утечки не только личных данных, но и файлов на пользовательских компьютерах — это заставило компанию приостановить разработку новых функций для видеоконференций.
Массовый переход на удалённую работу из-за пандемии Covid-19 превратил сервис видеоконференций Zoom в один из основных рабочих инструментов. Приложение получило взрывной рост популярности — в марте текущего года количество ежедневных пользователей превысило 200 миллионов человек. По сравнению с 2019 годом, когда ежедневно им пользовалось максимум 10 миллионов людей по всему миру, это можно назвать настоящим успехом. Однако этот же фактор заставил специалистов приглядеться к безопасности приложения.
В конце марта выяснилось, что версия для iOS отправляет аналитические данные в Facebook, даже если у пользователя нет учётной записи в соцсети. После запуска приложение подключается к Facebook SDK — основному инструменту, с помощью которого разработчики передают и получают данные в Facebook. Оно отправляло в соцсеть информацию о времени запуска, модели устройства, часовом поясе, городе, данные о мобильном операторе и уникальный рекламный идентификатор, который создаёт iPhone или iPad. Идентификатор позволяет точнее таргетировать рекламу.
При этом в политике конфиденциальности Zoom указано, что компания может собирать из Facebook информацию абонента, если он использовал соцсеть для входа или создания учётной записи. Но сервис не предупредил, что приложение и без того передаёт данные в соцсеть.
Компания достаточно оперативно устранила эту проблему, но тут же обнаружилась другая. Выяснилось, что видеозвонки в Zoom не защищены сквозным шифрованием (end-to-end, E2E), когда доступ к беседе имеют только участники. Хотя компания заявляет, что шифрует диалоги, на сайте, в технических документах и интерфейсе приложений. Обещанного сквозного шифрования Zoom не предоставляет, а использует менее безопасную защиту Transport Layer Security (TLS).
В январе текущего года специалисты компании Check Point Research рассказали о найденной в 2019-м уязвимости, позволявшей подключаться к чужим конференциям без приглашения, а также собирать информацию и копировать файлы, которыми обменивались участники.
По данным исследования, Zoom присваивала конференциям случайные числовые идентификаторы длиной от 9 до 11 символов, чтобы участники подключались к разговору. Специалисты Check Point Research разработали метод, с помощью которого в 4% случаев можно было попасть в видеоконференцию. Они передали информацию в Zoom.
Компания решила проблему: заменила случайную генерацию «криптографически надёжной», добавила дополнительные символы и ввела обязательную идентификацию по паролю.
Как сообщает TechRadar, в приложениях Zoom для Windows и Mac OS найдены несколько «дыр», которые ставят под угрозу личные данные и файлы на компьютерах пользователей. Эксперт, известный в Twitter как _godmode, отметил, что встроенная в чат Zoom функция преобразования URL-адреса в гиперссылки может делать то же самое для UNC-путей, превращая их в интерактивную ссылку, которая позволяет злоумышленникам дать информацию для доступа к компьютеру.
Владельцы компьютеров Mac при использовании Zoom рискуют отдать хакерам контроль над веб-камерой и микрофоном, а кроме того злоумышленники имеют шанс внедрить вредоносный код в программу установки Zoom, получив доступ к операционной системе устройства и возможность устанавливать вредоносные программы, о чём пользователь не узнает.
Также в клиенте Zoom для Windows была обнаружена уязвимость, эксплуатация которой позволяет внедрять UNC-пути в функцию чата с целью похищения учетных данных пользователей Windows. Также в прошлом месяце специалисты сообщили о значительном увеличении количества зарегистрированных фейковых доменов «Zoom», которые киберпреступники используют в попытке заставить людей загрузить вредоносные программы на свои устройства.
Компания SpaceX и Национальное агентство США по аэронавтике и исследованию космического пространства (NASA) рекомендовали своим сотрудникам не пользоваться данной программой в связи с обнаруженными в не багами. Это стало причиной приостановки компанией Zoom разработки новых функций своего приложени на 90 дней с целью проведения аудита безопасности.
Основатель и генеральный директор Zoom Эрик Юань (Eric Yuan) принёс свои извинения за проблемы в конфиденциальности и безопасности, пообещав провести работу над ошибками:
«Мы признаем, что не оправдали ожиданий и сообщества, и наших собственных. Мне очень жаль».
.
По его словам, компания сосредоточится исключительно на решении вопросов пользовательской конфиденциальности, а также готовит отчёт о прозрачности, аналогичный тем, которые периодически публикуют Facebook, Twitter и Google. Ранее об этом у компании попросила правозащитная организация Access Now.
Цена акций компании из-за возникших проблем сильно упала — только на этой неделе она потеряла 24%.
«Мы не предвидели, что нашим продуктом начнёт пользоваться такое большое количество людей в связи с переводом работы, учёбы и общения на дом, — продолжает Юань. — Теперь у нас значительно более широкий круг пользователей, которые используют наш продукт порой совершенно неожиданным способом, что ставит перед нами проблемы, которых мы совсем не ожидали».
Также Zoom извинилась за ложное утверждение о предоставлении «сквозного шифрования для всех конференций», которое означало, что весь контент на данной платформе якобы виден только участникам.
The main news of the week in the field of law.
On December 23, 2022, the Ministry of Justice included Roskomsvoboda in the register of unregistered public associations performing the functions of a foreign agent. We disagree with this decision and are appealing it in court.