CERT-RO попереджає, що користувачі Zoom можуть загрожувати вашій безпеці даних

Автор: Юліан Лука/Дата публікації: 02-04-2020 16:04

zoom

CERT-RO звертає увагу на програму Zoom, яка все частіше використовується в цей період через пандемію коронавірусу. Додаток має велику кількість завантажень, особливо на мобільних пристроях, але не багато хто знає, що він має ряд вразливих місць і прихованих функцій, які можуть поставити під загрозу безпеку даних користувачів.

Додаток Zoom, програмне забезпечення, призначене для відеодзвінків між користувачами, представляє низку вразливих місць та прихованих функцій, які можуть загрожувати безпеці даних, попереджає Національний центр реагування на інциденти з кібербезпекою (CERT-RO) в своїй інформації, опублікованій у четвер веб-сторінка.

"Оскільки все більше людей змушені працювати віддалено через обмеження, накладені розповсюдженням COVID-19, програмне забезпечення для відеодзвінків між користувачами набирає популярності. Це також стосується програми #Zoom, яка має дуже велику кількість завантажень, особливо на мобільних пристроях. Користувачі не знають, що програма має низку прихованих вразливостей та функцій, які можуть поставити під загрозу безпеку даних користувачів. Коли людина ініціює відеоконференцію та виступає в ролі ведучого, у неї є можливість активувати опцію відстеження уваги інших учасників, отримуючи сповіщення, якщо вони не звертають увагу на екран більше 30 секунд. Незалежно від того, чи користувачі читають електронну пошту, працюють над файлом, звітом чи навіть не звертають уваги та виконують інші дії в Інтернеті, ведучий відеодзвінка отримує про це повідомлення. Основною проблемою цієї функції, характерною для Zoom, є той факт, що учасники не отримують повідомлення про те, що цей процес є активним, і, отже, вони не дають своєї згоди на контроль за їх діяльністю таким чином ", пояснюють фахівці.

Згідно з цитованим джерелом, Zoom зберігає файл .TXT з повідомленнями чату від відеозустрічі в Інтернеті, а інформація, опублікована на сторінці довідки програми, збережений чат включатиме лише повідомлення від хоста та динаміків до всіх учасників. "Однак це не уточнює, що буде з прямими повідомленнями між учасниками", - зазначає CERT-RO.

Додаток збирає особисту інформацію про користувачів

Фактично, на основі політики конфіденційності, Zoom збирає інформацію про користувачів, особисту інформацію, таку як ім’я, адресу, адресу електронної пошти, номер телефону, посаду, роботодавця.

"Навіть якщо ви не створите обліковий запис Zoom і не підключитесь до іншої служби, програма все одно збиратиме таку інформацію, як тип використовуваного пристрою та IP-адреса. Нещодавно експерти з безпеки виявили, що Zoom неправильно передавав інформацію Facebook. Зокрема, програма Zoom на iOS використовувала набір розробок (SDK), який використовувався для автентифікації через обліковий запис Facebook, який, як виявилося, повідомляв інформацію в соціальну мережу, навіть якщо користувач не пройшов аутентифікацію через обліковий запис Facebook. Тим часом цей SDK був виключений із програми, але користувачі, які не мають оновлених оновлень, все одно можуть зазнати впливу. Zoom має власний метод наскрізного шифрування (E2EE), який вводить користувачів в оману, оскільки використовуваний метод шифрування - захист транспортного рівня (TLS), той самий метод, який використовується для захисту з'єднань HTTPS. TLS захищає з'єднання від перехоплення сторонніми особами, але не проти серверів Zoom. E2EE повинен дозволяти дешифрування інформації лише тоді, коли вона надходить до одержувача, але в цьому випадку також дозволяється дешифрування сервером Zoom ", пояснюють представники CERT-RO.

Уникайте автентифікації Facebook та оновлюйте програму

Експерти стверджують, що в 2019 році консультант з кібербезпеки виявив, що Zoom створив локальний веб-сервер на пристрої Mac користувача, що дозволило програмі обійти функції безпеки в Інтернет-браузері Safari 12. Інтернет не згадувався в жодній офіційній документації Zoom і використовувався для обходу активації спливаючого вікна, яке Safari 12 відображав перед увімкненням камери пристрою.

"На жаль, цей віддалений веб-сервер не був належним чином захищений. Майже будь-який веб-сайт міг взаємодіяти з ним. Результатом цієї дії стало те, що Zoom практично дозволив зловмисним веб-сайтам захопити камеру вашого пристрою Mac, не видаючи попередження щодо цього ", - підкреслює цитоване джерело.

Ще одна уразливість, виявлена ​​експертами, стосується того, що Zoom за замовчуванням дозволяє всім користувачам використовувати функцію спільного екрану. "Якщо хост не вимкне цю функцію, зловмисні люди можуть зірвати відеоконференцію, розповсюджуючи конфузний вміст. Як правило, масштабування може відбуватися, коли посилання на доступ до відеоконференції стає загальнодоступним. У США вже були випадки, коли зловмисники порушували або викрадали курси в освітньому середовищі ", - заявляє CERT-RO.

Щоб користувачі Інтернету мали змогу захистити свої дані під час використання Zoom, експерти рекомендують використовувати два пристрої під час дзвінків через цю програму, уникати автентифікації Facebook, використовувати програму лише з актуальними оновленнями та захищати дзвінки від Zoombombing.

Перш ніж розпочати публічну відеоконференцію, перейдіть до меню Налаштування та змініть параметр «Спільний доступ до екрану» на «Лише хост», вимкніть «Приєднатися до хосту», вимкніть «Дозволити вилученим учасникам повторно приєднатися» та відключити "Передавання файлів", зазначає CERT-RO.

Крім того, якщо тип конференції дозволяє, цю дію потрібно захистити, встановивши пароль доступу.