Хабрахабр

Zoom — банальная халатность или целенаправленный шпионаж?

В разгар периода самоизоляции в центре внимания оказалось известное американское приложение для конференц-связи Zoom, популярность которого из-за массового перехода на дистанционную работу и обучение выросла за последний месяц аж в двадцать раз, и Zoom вышел на уверенное первое место в США по количеству скачиваний. Однако внимание он привлёк не столько увеличением количества пользователей, сколько скандалами, связанными с массовой утечкой корпоративных и личных данных пользователей Zoom в социальную сеть Facebook, а также тысячами записей личных видеоконференций, слитых в открытый доступ на YouTube и Vimeo.

Что такое Zoom и как он работает

Основное назначение Zoom — проведение видеоконференций, причём приложение обеспечивает поддержку видеопотока в HD качестве и одновременное подключение к беседе до ста участников. Также пользователи любят эту программу за возможность совместного использования экрана и создания чатов, где можно не только прикреплять различные вложения, но и работать с такими популярными облачными сервисами, как Google Disc и Dropbox. Кроме того, приложение позволяет открывать доступ к экрану мобильного устройства (функция расшаривания). Из дополнительных фишек имеется также функция «поднятия руки» во время беседы для того, чтобы задать вопрос.
Но, несмотря на хороший функционал, у «Зума» большие проблемы в обеспечении конфиденциальности пользователей. Так, приложение не поддерживает сквозное шифрование данных и имеет другие серьёзные бреши в системе безопасности, которые возникали как раз по причине добавления некоторых функций.

Attendee Attention Tracking: я слежу за тобой

Например, функция Attendee Attention Tracking (отслеживания внимания слушателей) позволяет вычислять тех, кто отвлекается от беседы на посторонние дела. Очевидно, что это кажется полезным руководителям компаний и ведущим учебных занятий, однако минусы этой функции значительно серьёзнее, поскольку она использует трекеры слежения (скрипты, осуществляющие удалённую слежку за всеми участниками), которые позволяют программе «обходить параметры безопасности в браузере и вести несогласованную слежку за пользователем и его действиями посредством веб-камеры», к чему неоднократно возникали вопросы со стороны специалистов по защите персональных данных.

Прислушавшись к критике Attendee Attention Tracking со стороны специалистов по кибербезопасности, разработчики из Zoom Video Communications решили избавиться от этой функции, о чём сообщили на сайте приложения: «2 апреля 2020 года мы удалили функцию отслеживания внимания пользователей в целях обеспечения безопасности и конфиденциальности наших клиентов».

SDK Facebook: Цукербергу «стук-стук»

Ещё одна проблема, которую предстояло решить разработчикам приложения, чтобы вернуть доверие пользователей, заключалась в том, что Zoom в автоматическом режиме передавал ряд данных компании Facebook, которая анализирует и использует получаемую информацию в рекламных целях: по данным DuckDuckGo (поисковая система, выступающая против отслеживания пользовательских данных), рекламные трекеры «Фейсбука» размещены на 36% всех сайтов в интернете, и по этому показателю он уступает только Google с его 85%.

Какие же пользовательские данные передавал Zoom? Прежде всего время входа в приложение, местонахождение пользователя, тип устройства. Также среди пересылаемой информации был и рекламный ID, по которому сайты, связанные с Facebook, показывают пользователю таргетированную рекламу.

Но бедой разработчиков Zoom стало то, что их приложение на iOS отправляло «Фейбуку» данные не только о пользователях, у которых были аккаунты в этой социальной сети, но и о тех, кто на Facebook вообще зарегистрирован не был, а последнее в пользовательском соглашении прописано не было ни в каком виде, то есть налицо факт несанкционированной передачи информации: читай, шпионажа.

Zoom отреагировал на претензии пользователей, и разработчики удалили код SDK Facebook из своей программы, однако американцы всё равно стали массово подавать иски против компании, обвиняя её в нарушении местных законов о передаче данных. Владельцы «Зума» не учли одной простой вещи: слежка со стороны Facebook отключается только после обновления приложения, поэтому компания должна была обязать всех своих клиентов использовать новую версию Zoom.

Конфиденциальность? Нет, не слышали

Удаление Attendee Attention Tracking и SDK Facebook из приложения — похвальные, хотя и запоздалые инициативы Zoom Video Communications, однако проблему безопасности это не решило: дело в том, что уязвимостей у Zoom и без того вагон и маленькая тележка.

Так, в политике конфиденциальности Zoom прямо указано, что рекламные партнёры (например, Google Ads и Google Analytics) сервиса автоматически собирают «некоторую информацию» о пользователях, когда они используют продукты компании. И что это за информация, не конкретизируется. Вот что по этому поводу пишет один из исследователей проблем компьютерной безопасности Док Сирлс (Doc Searls):

«Zoom занимается рекламой, причём в самом худшем её варианте: компания живёт за счёт собираемых личных данных пользователей. Но ещё более жутко то, что Zoom может собирать большое количество данных частного, интимного характера (например, беседа врача с пациентом), и ни один из участников беседы об этом не догадывается». И далее: «Если ваш браузер заботится о конфиденциальности (например, Brave, Firefox или Safari), он, скорее всего, будет блокировать и рекламные трекеры, однако в Zoom вы не сможете определить, собираются ли ваши личные данные и каким образом это происходит».

Затем специалист указывает на то, что в Zoom до недавнего времени вообще не было возможности отказаться от сбора личных данных о вас и от их продажи третьим лицам (налицо нарушение не только конфиденциальности, но и безопасности):

«Текущая политика конфиденциальности Zoom выглядит даже хуже, чем “у вас нет никакой конфиденциальности здесь”», — резюмирует специалист и выдаёт хлёсткое определение политики Zoom по отношению к пользователям: «Мы открываем ваши виртуальные шеи информационным вампирам, которые могут делать с ними всё, что захотят». (буквально: We expose your virtual necks to data vampires who can do what they will with it).

Обновление политики конфиденциальности

Шквал критики всё же заставил Zoom Video Communications пересмотреть политику конфиденциальности, и 29 марта появился обновлённый вариант текста (https://zoom.us/privacy), где в самом начале прямо указывается: «Мы не продаём ваши личные данные. Являетесь ли вы компанией, образовательным учреждением или отдельным пользователем, мы не продаём ваши данные».

Следующий важный пункт: «Ваши встречи только ваши. Мы не отслеживаем и даже не храним их после завершения собрания, если только их не запишет и не сохранит организатор конференции».

Ещё из интересного: «Zoom собирает только те пользовательские данные, которые необходимы для предоставления вам услуг Zoom… Например, мы собираем такую информацию, как IP-адрес пользователя, а также сведения об операционной системе и устройстве...»

И наконец: «Мы не используем данные, которые мы получаем от использования вами наших программ, для какой-либо рекламы. Мы используем данные, которые мы получаем от вас, когда вы посещаете наши коммерческие сайты, такие как zoom.us и zoom.com. Вы можете контролировать свои собственные настройки файлов cookie при посещении наших коммерческих сайтов».

На этом можно было бы и закругляться: сказать, что ребята молодцы, и порекомендовать обновлённый Zoom всем, кто заботится о своей безопасности в интернете, однако здесь есть нюанс и, вопреки известному анекдоту, даже не один.

Другие уязвимости

Крупная неприятность поджидает пользователей ОС Windows, коих в мире абсолютное большинство. Выяснилось, что Zoom преобразует в ссылки UNC-пути, то есть пути… к файлам в Windows. (https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/). Используя такие ссылки, по которым размещены изображения, аудиозаписи и другие медиафайлы, хакеру не составит никакого труда взломать хэши и получить доступ к учётным данным пользователей Zoom. В компании знают об этой уязвимости, однако пока никаких исправлений кода приложения не последовало.

Ранее ещё один удар под дых «Зум» получил от сайта новостных расследований The Intercept, где 31 марта появилась статья о том, что видео в Zoom не имеют должного шифрования и что сама компания может просматривать любые сеансы связи своих пользователей. А отсутствие сквозного шифрования приводит к тому, что в беседы могут вмешиваться посторонние: в 2020 году большую популярность приобрел так называемый «Zoombombing», когда чужаками «вскрывались» различные занятия и корпоративные видеоконференции с шутливой целью устроить «пранк» и превращали трансляции в хаос (в том числе, и транслируя порнографический контент на всю аудиторию). Несложно догадаться, что подобные розыгрыши — это еще самое безобидное, что может произойти с пользователями в Zoom.

Зумовская «клубничка» и Илон Маск

На днях американское издание Washington Post сообщило о тысячах бесед Zoom, попавших в открытый доступ, которые были опубликованы на площадках YouTube и Vimeo. Журналисты издания, отсмотревшие эти материалы, сообщили, что в ряде «слитых» в сеть бесед содержится конфиденциальная информация: имена, номера телефонов, служебные списки, финансовая отчётность частных компаний, а также личные данные детей, засветившиеся на онлайн уроках, которые сейчас массово проводятся по всему миру в связи с карантином. Во многих видео ведутся глубоко личные, интимные беседы и даже представлена обнажённая натура (таких как, например, проведение преподавателем обучения по эпиляции в одном из чатов).

Ситуация усугубляется еще и тем, что возможен просмотр даже скрытых записей на серверах самого «Зума»: сообразительные юзеры могут открывать случайные видео, пользуясь типовой нумерацией, которой Zoom обозначает все свои материалы. При этом многие из засветившихся на видео пострадавших, с кем удалось пообщаться журналистам «Вашингтон Пост», заявляли, что даже не представляют, как их приватные беседы могли попасть в открытый доступ.

Ещё до скандалов со «сливом» видео в сеть, своим сотрудникам запретил использовать Zoom Илон Маск. Глава корпораций SpaceX и Tesla отметил, что у сервиса серьёзные проблемы с конфиденциальностью и безопасностью, и порекомендовал использовать для корпоративного общения электронную почту и телефон. Руководители SpaceX блокировали доступ к Zoom для своих сотрудников 28 марта 2020 года.

В NASA и Google тоже против Zoom

Представитель NASA Стефани Ширхольц в тот же день заявила, что руководство космического агентства США также запрещает своим сотрудникам использовать Zoom, а 30 марта предупреждение об использовании Zoom опубликовало бостонское отделение ФБР: служащим организации запрещалось делать встречи на сайте публичными и делиться любыми ссылками.

Из последних нерадостных для «Зума» новостей: от десктопного приложения Zoom отказались в Google. Reuters сообщает, что в Google с 8 апреля запретили использовать приложение на ноутбуках своих сотрудников, ссылаясь на проблемы безопасности Zoom. Представитель компании, управляющей крупнейшей поисковой системой в мире, Хосе Кастанеда заявил: «Недавно наша служба безопасности сообщила сотрудникам, использующим Zoom Desktop Client, что эта программа больше не будет поддерживаться на корпоративных компьютерах, поскольку не соответствует нашим стандартам безопасности для приложений, используемых сотрудниками компании. Однако Google по-прежнему разрешает использование Zoom через мобильные приложения и браузеры».

Они обещали исправиться...

В Zoom Video Communications заявляют о том, что проблемы с утечкой данных возникли потому, что серверы приложения оказались не готовы к такому наплыву пользователей за последний месяц. А генеральный директор компании Эрик Юань даже подробно рассказал об этом в своём блоге и добавил, что им предстоит проделать огромную работу, чтобы вернуть доверие людей (ссылка).

Что ж, пожелаем ребятам удачи!

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»