Czy Zoom naprawdę jest niebezpieczny?
Zainteresowanie platformą do wideokonferencji
W ciągu ostatnich trzech miesięcy Zoom odnotował ogromny wzrost użytkowników — o około 190 milionów aktywnych użytkowników. Ogromne zainteresowanie platformą naturalnie skupiło również uwagę badaczy bezpieczeństwa.
Luki i „luki” bezpieczeństwa
Ze względu na niebywały wzrost popularności oprogramowania do wideokonferencji wzrosło też zainteresowanie nim badaczy bezpieczeństwa. Dzięki temu zostały w nim znalezione podatności, które mogły zagrażać bezpieczeństwu użytkowników. Należy pamiętać o tym, że nie ma w pełni bezpiecznego oprogramowania, a luki w każdym oprogramowaniu są co jakiś czas odkrywane przez specjalistów od bezpieczeństwa IT. Bardziej istotnym czynnikiem wpływającym na nasze poczucie zagrożenia od samych opublikowanych podatności powinna być reakcja firmy odpowiedzialnej za oprogramowanie.
Ostatnie problemy z Zoom i odpowiedzi firmy
Zoombombing
Zoombombing — To najbardziej nagłośnione pojęcie dotyczące Zoom-a. Problem tak nazwany polega na dołączaniu do spotkań online niepożądanych osób i prezentowania nieodpowiednich treści, czy po prostu zakłócania wideokonferencji. W większości przypadków nie są to osoby, które zgadują ID spotkania lub PIN. Zdarza się, że uczniowie podczas zdalnych lekcji chcą zrobić sobie żarty i wysyłają dane dostępowe do znajomych lub publikują je w mediach społecznościowych. Taki trend możemy zaobserwować np. w portalu Twitter. Wystarczy, że wpiszemy w pasku wyszukiwania #zoomcode, a ukarze nam się długa lista aktualnie odbywających się spotkań/lekcji online na które zapraszają uczniowie chcący zrobić „żart” swojej klasie.
W związku z powyższym zespół ZOOM od 5 kwietnia postanowił domyślnie włączyć hasła do spotkań i poczekalnie jako dodatkowe ulepszenia bezpieczeństwa w celu ochrony prywatności. Szczegóły na stronie Usprawnienia bezpieczeństwa Zoom
Również 20 marca ZOOM opublikował na swoim blogu poradnik, aby wyjaśnić użytkownikom jakie funkcje ochronne mogą wykorzystać, aby zapobiegać incydentom „Zoombombing-u”.
Szyfrowanie danych
Zoom 1 kwietnia ogłosił, że podczas spotkań w których wszyscy uczestnicy używają klienta Zoom, a spotkanie nie jest nagrywane — każda ścieżka wideo, audio, udostępniania zawartości pulpitu i czatu jest szyfrowana. Zanim zawartość dotrze do użytkowników w żadnym momencie przesyłania danych między uczestnikami nie są one odszyfrowywane przez Zoom. Więcej informacji w naszym artykule Szczegółowo o szyfrowaniu spotkań przez platformę ZOOM
Podatność Zoom na Windows
Istniała możliwość wykradzenia haszu hasła użytkownika wykorzystując wysłanie złośliwego hiperłącza UNC na czacie. Jeżeli uczestnik spotkania kliknął na taki link, hasło do komputera mogło zostać skompromitowane. Zoom w ciągu dwóch dni od demonstracji podatności „UNC path injection” wypuścił aktualizacje naprawiającą opisywany błąd.
Podatność Zoom na MAC-a
30 marca ujawniono podatność, która umożliwiała potencjalnie wcześniej pobranemu złośliwemu oprogramowaniu na nieautoryzowaną eskalacje uprawnień do poziomu uprzywilejowanego użytkownika. Przedstawiono również sposób w jaki pobrany przez użytkownika malware, mógłby uzyskać dostęp do mikrofonu i kamery Mac-a. Problemy te zostały rozwiązane wraz z aktualizacją wydaną już 2 kwietnia.
Wysyłanie danych przez aplikacje Zoom do Facebook-a
Zoom zaimplementował w swojej aplikacji na iOS funkcjonalność logowania się przez Facebook-a za pomocą jego SDK. Dzięki temu mógł zapewnić użytkownikom kolejny wygodny sposób na uzyskanie dostępu do platformy, tak jak jest w przypadku wielu innych aplikacji. Dnia 25 marca 2020 r. pracownicy Zoom-a zostali poinformowani, że zestaw SDK Facebook-a pobiera informacje o urządzeniu, które nie są potrzebne firmie do świadczenia usług. Dane zbierane przez SDK nie obejmowały żadnych informacji związanych ze spotkaniami, nazwami uczestników, czy notatek. Informacje gromadzone przez Facebooka dotyczyły takich kwestii jak wersji iOS, ustawionego języka iOS, modelu telefonu, wersji aplikacji, strefy czasowej, adresu IP i kilku innych.
W odpowiedzi na doniesienia o SDK Facebooka, Zoom w trosce o prywatność użytkowników usunął to rozszerzenie aplikacji 27 marca tego roku. Klient na iOS został również przekonfigurowany w taki sposób, aby funkcja logowania przez Facebooka była możliwa za pośrednictwem przeglądarki internetowej.
Niejasności wokół polityki prywatności
Zoom 29 marca zaktualizował swoją politykę prywatności tak, aby była bardziej przejrzysta w stosunku do informacji o zbieraniu danych i ich wykorzystywaniu. Zoom jasno wyjaśnił i zadeklarował, że nie sprzedaje danych użytkowników, nigdy tego nie robił i nie zamierza robić tego w przyszłości.
Zgodność Zoom z GDPR
Platforma Zoom jest zgodna z rozporządzeniem o ochronie danych osobowych. Zgodnie z RODO, Zoom umożliwia zawarcie z nim dodatkowej umowy o przetwarzaniu danych. Po poprawnym wypełnieniu i dostarczeniu dokumentu staje się on prawnie wiążący między stronami.
Podsumowując
Podjęte przez Zoom działania zyskały uznanie znanych ekspertów od bezpieczeństwa. Jednak Zoom nie poprzestał na szybkim naprawieniu zgłoszonych błędów. W związku z ogromnym wzrostem popularności i zainteresowania wokół tej platformy podjęte zostały odpowiedzialne kroki. Zoom zadeklarował, że w ciągu następnych 90 dni wstrzyma rozwój nowych funkcji i skupi pracę wszystkich swoich inżynierów na zagadnienia związane z bezpieczeństwem oraz prywatnością. Ponadto rozbuduje swój obecny program „bug bounty”, aby zachęcić badaczy bezpieczeństwa do zgłaszania błędów bezpośrednio do platformy Zoom.
Jak zawsze zalecamy do aktualizowania każdego oprogramowania do najnowszej wersji oraz zalecamy instalowanie oprogramowania tylko z oficjalnych źródeł dystrybucji, aby zabezpieczyć siebie oraz przedsiębiorstwo przed zagrożeniami związanymi z siecią.
W ostatnim czasie wiele pracowników, nauczycieli i uczniów masowo zaczęło korzystać z systemów do wideokonferencji w ramach zdalnej pracy i nauki. Niestety w wielu przypadkach proces ten odbywa się bez żadnego wcześniejszego przygotowania. Zoom niejako stał się ofiarą swojej własnej popularności.
Aby dowiedzieć się, jak bezpiecznie korzystać z Zoom-a zachęcamy do zapoznania się z dokumentem opisującym najlepsze praktyki dla zabezpieczenia wirtualnej sali lekcyjnej. Ten zbiór najlepszy praktyk znajdzie również zastosowanie dla pracowników korporacyjnych, gdyż opisuje podstawowe zabezpieczenia aplikacji. Link do strony: Najlepsze praktyki zabezpieczenia wirtualnej klasy Zoom.