Успіх масштабування не буває без критики
Глобальна епідемія, швидше за все, матиме економічні труднощі для багатьох підприємств. Але, звичайно, не для Zoom: американський додаток для відеоконференцій зафіксував пік популярності з початку року, значно затьмарюючи своїх конкурентів, на ринку, який, тим не менш, дуже бажаний такими головними гравцями, як Microsoft та Google.
У центрі уваги
Але раптова популярність також підкреслює недоліки конфіденційності програми - низку питань, над якими Zoom сьогодні наполегливо працює. Таким чином, клієнт iOS від Zoom отримав побічне оновлення, коли сайт Материнської плати виявив, що він використовував SDK Facebook і, отже, автоматично передавав дані користувачів Facebook. Серед спільних даних ми в основному знайшли інформацію, що стосується пристрою користувача, його географічного району, постачальника доступу та інших так званих "телеметричних" даних, які видавці програмного забезпечення не позбавляють себе використовувати. Відсутність смаку, що змусило розробників проекту вибачитися у дописі в блозі та негайно видалити Facebook SDK зі своїх клієнтів iOS.
Zoom також змінив свою політику конфіденційності кілька днів тому, щоб пояснити свою практику захисту даних. У новій версії Zoom наголошує, що вона не перепродає дані, не відстежує конференції користувачів та застосовує чинне законодавство США про захист даних. З іншого боку, його політика конфіденційності є досить незрозумілою щодо Європейського регламенту про захист приватної особи та використовує, наприклад, власне визначення "персональних даних", набагато більш обмежене, ніж те, що передбачене європейським текстом.
Хости також можуть контролювати діяльність вашого комп’ютера. Політика конфіденційності Zoom не обговорює цю функцію.
Тепер мені цікаво, хто відповідає за отримання згоди на такий моніторинг? На практиці, чи приймають господарі згоду на використання цієї функції? https://t.co/Jg4gtZcv6C
Zoom також не соромляться використовувати власне визначення поняття наскрізного шифрування. Перехоплення у вівторок опублікував статтю, в якій розглядав засоби шифрування, що використовуються додатком для захисту розмов: це не наскрізне шифрування в класичному розумінні цього поняття, яке зробить вміст доступним лише для учасників дзвінка. Як повідомив прес-секретар Перехоплення, «Масштабування відеозустріч використовує комбінацію TCP та UDP. TCP-з'єднання встановлюються за допомогою TLS, а з'єднання UDP шифруються за допомогою AES за допомогою ключа, узгодженого через з'єднання TLS ”. Це означає, що аудіо- та відеодані ефективно шифруються, але Zoom теоретично може дешифрувати дані, що проходять через його сервери. Якби уряд попросив Zoom надати йому дані, компанія, таким чином, не змогла б використовувати свою архітектуру, щоб уникнути його запиту. І за відсутності звіту про прозорість важко зрозуміти, якою була б політика компанії в цій галузі.
Це не спостереження, це особливість
Але окрім юридичних питань, Zoom за замовчуванням пропонує багато даних, доступних адміністраторам кімнат для відеоконференцій: як EFF нагадав два тижні тому, програма має функції, що дозволяють адміністратору отримувати повідомлення, якщо член аудиторії переміщує вікно у фоновий режим спільний доступ до екрана. А Zoom також пропонує інструменти, що дозволяють адміністратору отримувати точні дані про пристрої та програми, що використовуються учасниками, а також відновлювати всі відео, аудіо, історії чатів та стенограми розмов і конференцій, що відбулися в тому випадку, коли вони є адміністраторами, якщо вони зареєстровані в хмарі або на пристрої адміністратора. Досить сказати, що орган Zoom, створений вашим роботодавцем, може бути не найкращим місцем для обговорення останніх пліток зі своїми колегами, навіть за очевидної відсутності вашого начальника.
Zoom також стикається з іншою проблемою: "Zoom bombing", термін, що використовується для позначення акту самовільного запрошення себе на конференцію Zoom. Якщо кімната відеоконференції не налаштована за допомогою пароля, будь-хто, хто має URL-адресу, може приєднатися до конференції. Дефект конфігурації, який може дозволити третій стороні зірвати відеоконференцію або просто прослухати сказане, не помічаючи інших користувачів. Відзначаючи збільшення такого типу поведінки, ФБР опублікувало керівництво, яке допоможе адміністраторам захистити свої відеоконференції Zoom, правильно налаштувавши програму.
Вага минулих несправностей
Ще одна причина, через яку Zoom опиняється під пильною увагою, полягає в тому, що програма вже виправила кілька помітних дір в безпеці за останні місяці. Таким чином, клієнт Zoom для MacOS зазнав своєї частки виправлень протягом 2019 року: недолік безпеки, зокрема, дозволив зловмисникові скористатися Zoom для виконання коду на машині цілі за допомогою шкідливої URL-адреси.
Клієнт macOS Zoom, схоже, не одностайний: компанія також була закріплена в 2019 році за використання сценарію встановлення на машинах своїх користувачів, що не дозволило повністю видалити та підтримувати Zoom навіть після видалення клієнта веб-сервером на машина. Це не було вказано користувачеві, але тим не менше містило вразливі місця безпеки, які можна було використати, щоб змусити, наприклад, активувати веб-камеру та мікрофон під час входу на веб-сторінку. Те, що Zoom розглядав як "особливість", насправді не сподобалось Apple, яка випустила оновлення для видалення цього підпільного веб-сервера. Навіть сьогодні журнал MacGeneration нагадує, що версія інструменту для MacOS не обов’язково стосується найкращих практик. Мабуть, тому сьогодні неможливо встановити MacOS-клієнт Zoom з офіційного магазину Apple.
З тих пір різні недоліки були виправлені, і ми навряд чи можемо звинуватити компанію: у всіх програмах є недоліки, і їх виправлення є частиною гри. А Zoom має значні переваги перед конкурентами: інструмент призначений для конференцій, в яких беруть участь дуже багато учасників, має функції що конкуренції не вистачає (насправді дуже смішно мати можливість змінити фон за собою), не вимагає створення облікового запису, щоб використовувати її, і її легко встановити. Але ця очевидна простота використання має свою ціну: сумнівне ставлення до питань безпеки та захисту даних. Як мантра "швидко рухатися і ламати речі" залишається актуальною.
Оновлення 04/01 о 14:00: Важкий день для Zoom і критиків постійно в русі. Сьогодні ми дізналися, що прокурор Нью-Йорка відкриває розслідування щодо практики захисту даних Zoom. Як повідомляла газета "Нью-Йорк Таймс", у понеділок прокурор направив листа, в якому заявив, що "стурбований тим, що існуюча практика безпеки Zoom може бути недостатньою, щоб врахувати нещодавнє та раптове зростання обсягу та чутливість даних, переданих через його мережу". У той же час ми дізналися про наявність вади в Zoom, що дозволяє зловмисникам відновити облікові дані Windows, надіславши шкідливе посилання через функцію чату Zoom.
Оновлення 04/01 16:00: TechCrunch повідомляє, що дослідник безпеки Патрік Уордл розкрив два нові недоліки Zoom у macOS на 0 днів. Один - підвищення прав, що використовує сценарій встановлення Zoom, а інший дозволяє зловмисному коду отримувати дозволи, надані Zoom, на доступ до веб-камери та мікрофона. Поганий день для масштабування.