Zoom извинилась за «дыры» в безопасности и занялась исправлением багов

В одном из самых быстрорастущих в мире на фоне пандемии приложений была обнаружена уязвимость, из-за которой могут возникнуть утечки не только личных данных, но и файлов на пользовательских компьютерах — это заставило компанию приостановить разработку новых функций для видеоконференций.  

Массовый переход на удалённую работу из-за пандемии Covid-19 превратил сервис видеоконференций Zoom в один из основных рабочих инструментов. Приложение получило взрывной рост популярности — в марте текущего года количество ежедневных пользователей превысило 200 миллионов человек. По сравнению с 2019 годом, когда ежедневно им пользовалось максимум 10 миллионов людей по всему миру, это можно назвать настоящим успехом. Однако этот же фактор заставил специалистов приглядеться к безопасности приложения.

В конце марта выяснилось, что версия для iOS отправляет аналитические данные в Facebook, даже если у пользователя нет учётной записи в соцсети. После запуска приложение подключается к Facebook SDK — основному инструменту, с помощью которого разработчики передают и получают данные в Facebook. Оно отправляло в соцсеть информацию о времени запуска, модели устройства, часовом поясе, городе, данные о мобильном операторе и уникальный рекламный идентификатор, который создаёт iPhone или iPad. Идентификатор позволяет точнее таргетировать рекламу.

При этом в политике конфиденциальности Zoom указано, что компания может собирать из Facebook информацию абонента, если он использовал соцсеть для входа или создания учётной записи. Но сервис не предупредил, что приложение и без того передаёт данные в соцсеть.

Компания достаточно оперативно устранила эту проблему, но тут же обнаружилась другая. Выяснилось, что видеозвонки в Zoom не защищены сквозным шифрованием (end-to-end, E2E), когда доступ к беседе имеют только участники. Хотя компания заявляет, что шифрует диалоги, на сайте, в технических документах и интерфейсе приложений. Обещанного сквозного шифрования Zoom не предоставляет, а использует менее безопасную защиту Transport Layer Security (TLS).

В январе текущего года специалисты компании Check Point Research рассказали о найденной в 2019-м уязвимости, позволявшей подключаться к чужим конференциям без приглашения, а также собирать информацию и копировать файлы, которыми обменивались участники.

По данным исследования, Zoom присваивала конференциям случайные числовые идентификаторы длиной от 9 до 11 символов, чтобы участники подключались к разговору. Специалисты Check Point Research разработали метод, с помощью которого в 4% случаев можно было попасть в видеоконференцию. Они передали информацию в Zoom.

Компания решила проблему: заменила случайную генерацию «криптографически надёжной», добавила дополнительные символы и ввела обязательную идентификацию по паролю.

Как сообщает TechRadar, в приложениях Zoom для Windows и Mac OS найдены несколько «дыр», которые ставят под угрозу личные данные и файлы на компьютерах пользователей. Эксперт, известный в Twitter как _godmode, отметил, что встроенная в чат Zoom функция преобразования URL-адреса в гиперссылки может делать то же самое для UNC-путей, превращая их в интерактивную ссылку, которая позволяет злоумышленникам дать информацию для доступа к компьютеру.

Владельцы компьютеров Mac при использовании Zoom рискуют отдать хакерам контроль над веб-камерой и микрофоном, а кроме того злоумышленники имеют шанс внедрить вредоносный код в программу установки Zoom, получив доступ к операционной системе устройства и возможность устанавливать вредоносные программы, о чём пользователь не узнает.

Также в клиенте Zoom для Windows была обнаружена уязвимость, эксплуатация которой позволяет внедрять UNC-пути в функцию чата с целью похищения учетных данных пользователей Windows. Также в прошлом месяце специалисты сообщили о значительном увеличении количества зарегистрированных фейковых доменов «Zoom», которые киберпреступники используют в попытке заставить людей загрузить вредоносные программы на свои устройства.

Компания SpaceX и Национальное агентство США по аэронавтике и исследованию космического пространства (NASA) рекомендовали своим сотрудникам не пользоваться данной программой в связи с обнаруженными в не багами. Это стало причиной приостановки компанией Zoom разработки новых функций своего приложени на 90 дней с целью проведения аудита безопасности.

Основатель и генеральный директор Zoom Эрик Юань (Eric Yuan) принёс свои извинения за проблемы в конфиденциальности и безопасности, пообещав провести работу над ошибками:

«Мы признаем, что не оправдали ожиданий и сообщества, и наших собственных. Мне очень жаль».

.

По его словам, компания сосредоточится исключительно на решении вопросов пользовательской конфиденциальности, а также готовит отчёт о прозрачности, аналогичный тем, которые периодически публикуют Facebook, Twitter и Google. Ранее об этом у компании попросила правозащитная организация Access Now.

Цена акций компании из-за возникших проблем сильно упала — только на этой неделе она потеряла 24%.

«Мы не предвидели, что нашим продуктом начнёт пользоваться такое большое количество людей в связи с переводом работы, учёбы и общения на дом, — продолжает Юань. — Теперь у нас значительно более широкий круг пользователей, которые используют наш продукт порой совершенно неожиданным способом, что ставит перед нами проблемы, которых мы совсем не ожидали».

Также Zoom извинилась за ложное утверждение о предоставлении «сквозного шифрования для всех конференций», которое означало, что весь контент на данной платформе якобы виден только участникам.