Zoom — це новий чорний. Але експерти мають сумніви щодо його безпеки
Сервіс для відеозв'язку Zoom став дуже популярним в умовах карантину та самоізоляції. Останніми місяцями кількість його користувачів зросла з 10 до 200 мільйонів. Ним користуються навіть члени британського уряду. Проте експерти з кібербезпеки і ФБР попереджають: Zoom не такий ідеальний, як би хотілося. Він вразливий для хакерів, а його користувачі ризикують своїми особистими даними.
hromadske публікує матеріал Euroradio у межах партнерства незалежних медіа Східної Європи.
Захоплення веб-камери і простий доступ до дзвінків
Сумніви щодо безпеки даних у Zoom виникали вже не раз, пише видання The Verge.Так, у 2019 році в сервісі знайшли вразливість, яка дозволяє отримувати доступ до веб-камер користувачів. Apple була змушена видалити програмне забезпечення Zoom з Mac.
Ще одна претензія до Zoom стосується випадково згенерованого коду відеоконференцій довжиною від 9 до 11 цифр. За цим номером учасники можуть приєднатися до бесіди. Дослідники дійшли висновку, що зловмисники легко можуть підібрати ці цифри і приєднатися до будь-якої відеоконференції. Наприклад, уже з'явився так званий Zoombombing, коли невідомі транслюють свій контент (порно, жорстокі відео) в чужих бесідах.
Проблема — у простоті сервісу. Він не вимагає установки пароля для конференцій і дозволяє будь-якому учаснику «ділитися» своїм екраном. Для освітніх облікових записів розробники Zoom змінили ці налаштування минулого тижня. Усім іншим потрібно встановлювати ці параметри самостійно.
Недостатнє шифрування
Ще один недолік: виявилося, що Zoom не використовує кінцеве шифрування E2E. Воно вважається «золотим стандартом» для подібних додатків. Zoom використовує протокол захисту TLS, який застосовується браузерами для безпеки HTTPS-сторінок. Це означає, що дані, які передає користувач, зберігаються в зашифрованому вигляді на його пристрої, а також на серверах компанії. За низки умов інформація може стати надбанням як зловмисників, так і правоохоронців.
Що стосується кінцевого шифрування E2E, то доступ до даних, захищених за цим стандартом, закритий навіть для власника серверів. Вони зберігаються виключно на смартфонах учасників бесіди. Але представник Zoom заявив, що наразі включити таке шифрування сервіс не може.
Інформаційна гігієна не менш важлива за особисту. Ми працюємо навіть в умовах карантину і піклуємось про новини, які ви отримуєте! Підтримайте нас на Спільнокошті! Підтримайте незалежну журналістику!
І навіть пароль від Windows у небезпеці?
Усередині Zoom виявлена уразливість, що дозволяє зловмисникові викрасти дані для входу в Windows, пише портал Bleeping Computer. Включно із паролем користувача. Ця інформація перебуває в зашифрованому вигляді, однак у мережі є десятки безкоштовних сервісів, які дозволяють зняти хешування й отримати дані.
Що буде далі?
Zoom вже зараз стикається з судовими процесами: його звинувачують у незаконній передачі особистої інформації третім особам. При цьому кількість користувачів додатка зросла за час пандемії коронавірусу в 20 разів, а вартість акцій компанії — в чотири рази.
Додаток, безсумнівно, переживає момент слави, пише The Verge: «Zoom не вимагає створення облікового запису і безкоштовний для 40-хвилинних конференцій. Сервіс виявився в центрі уваги як найважливіший інструмент роботи для багатьох. Але ця популярність поставила розробників перед низкою важких рішень».
Розробники ж намагаються мінімізувати ризики витоку даних, зберігши простоту використання сервісу.