ZOOM — “Очень полезный, но очень дырявый”

Image for post
Image for post

#hackandsecurity

Также читайте меня тут: Telegram и Вконтакте

На сегодняшний день только ленивый не написал о том, как плох ZOOM с точки зрения безопасности в связи с последними событиями. Обычно, я не люблю писать об утечках или новых “дырках”, когда прошло уже много времени, но тут сделаем исключение, так как конкретно данный кейс с ZOOM может многому нас научить. Поэтому, моя основная задача в этой маленькой статье сделать выводы из всего происходящего и напомнить некоторые фундаментальные аспекты безопасности, которые многие, почему-то упустили.

С чего все началось?

Ну для начала давайте вспомним (или напомним тем, кто в курсе) как ZOOM стал резко популярен. В условиях карантина по всему миру подавляющее число людей работает из дома. Во многих отраслях просто необходим визуальный контакт, ну а где-то, просто исходя из задач, необходимо встречаться большой группой людей и решать насущные вопросы. Собственно, за последние пару месяцев ZOOM стал скачиваться почти в 20 раз чаще в связи со всей этой ситуацией, так как его основная функция — это проведение массовых видеоконференций. При этом, ZOOM поддерживает HD качество и одновременно в беседе может быть 100 участников. Это идеальные условия для большинства видов бизнеса, а так же, для целей преподавания. Школы и ВУЗы практически поголовно начали использовать ZOOM для проведения дистанционных уроков. Список можно продолжать долго, но разговор не об этом.

Реальное внимание к себе ZOOM привлек после нескольких скандалов, связанных с практически полным отсутствием безопасности и приватности пользователей и массовым “сливом” их персональных данных.

Перечислим некоторые самые нашумевшие истории утечек за последнее время, а так же про главные уязвимости.

Опять Facebook

Ничего удивительного, но ZOOM передавал данные своих пользователей напрямую Facebook, которые используют их для таргетированной рекламы. Передавалось время входа в приложение, тип устройства, местоположение. Помимо всего прочего, передавались данные даже тех пользователей, которые никогда не были зарегистрированы в Facebook, а это уже называется прямой шпионаж. Естественно, это вызвало скандал и под гнетом общественности, ZOOM пришлось удалить код привязки фейсбука из приложения, но осталось одно “НО” — чтобы фейсбук перестал получать данные, все пользователи должны были после всего этого обновиться до новой версии. Мало кто об этом знает.

Помимо всего прочего, в условиях конфиденциальности ZOOM черным по белому написано, какие данные приложение будет считывать. Это IP-адрес, тип ОС и многое другое. Куда эти данные будут передаваться неизвестно ни кому.

Функция Attention tracking

В ZOOM есть функция attention tracking (это отслеживание внимания во время конференций). Такой инструмент идеально подходит, к примеру, когда мы говорим о школьниках, которых перевели сейчас на дистанционное обучение. Когда у учителя в виртуальном классе 25–30 человек, довольно проблематично следить одновременно за всеми иконками и, при этом, еще и урок вести. Проблема данной функции в том, что работает она через получение приложением доступа к веб-камере, что открывает огромное количество уязвимостей. 2 апреля 2020 года ZOOM отключил данную функцию.

Отсутствие E2E шифрования (сквозного)

Фактически в ZOOM его нет, но на бумаге прописано, что есть. Именно по этой причине была масса случаев, когда в любой чат мог зайти любой человек и делать что угодно. Самый показательный пример, когда на занятие, которое вел преподаватель для детей, ворвался троль и снял с себя штаны в прямом эфире. Так же отсутствие E2E шифрования означает, что и сам ZOOM может легко просматривать любые беседы.

После того, как в сеть утекло несколько террабайт видео записей конференций, естественно, все забили тревогу и на ZOOM посыпались массовые иски. Особенно опасен тот факт, что на этих видео есть конфиденциальные переговоры и внутрення информация разных крупных компаний (имена, телефоны, документы и прочее). Многие из этих видео были выложены на youtube и vimeo.

После массовых утечек в сети даже появился новый термин — “ZOOM — bombing”. Это когда злоумышленник находит уязвимую конференцию и заходит туда с целью хулиганства или слежки.

В общем список уязвимостей длинный, можно продолжать долго. Я перечислил самые громкие. Теперь давайте поговорим о том, какие уроки мы можем вынести из всего этого.

Выводы

Image for post
Image for post

Первый и самый очевидный вывод — это проверять приложение до его использования. Официально у ZOOM открытый исходный код. Это значит, что все его уязвимости, если они есть, можно проверить до его использования, либо просто найти уже готовый анализ. Странно, что компании, которым важна безопасность не сделали этого сразу (или их службы безопасности), ведь то, что было заявлено в описании не совпало с реальностью. Хотя бы тоже сквозное шифрование, которое заявлено, но, по сути, его там даже близко нет.

Второй совет — это всегда искать альтернативы. Если мы говорим про личное использование в контексте видео-звонков, отличный вариант, к примеру, тот же signal (о подборке безопасных мессенджеров можно прочитать тут в первой части и тут во второй части). Если говорить про рабочие нужды и массовые видеоконференции, как вариант, можно использовать Jitsi Meet. Там открытый исходный код и настройки безопасности на уровне. Можно подобрать и что-то другое, главный посыл — не стоит зацикливаться на чем-то одном только по причине того, что это используют все.

Третий совет — смотрите историю приложения. Если в нем уже были зафиксированы массовые утечки и, главное, не один раз, стоит об этом задуматься. Вся эта информация всегда есть в открытом доступе. Скрыть такое очень сложно. Прекрасный пример — это всеми любимый whatsapp. Новости о новых уязвимостях в нем появляются стабильно раз в месяц, а то и чаще. Мой анализ касательного этого мессенджера можно прочитать тут.

Ну и последнее, четвертое — нужно правильно расставлять приоритеты. К сожалению, любые технологии безопасности и приватности в приложениях могут ухудшать комфорт пользователей. Будь то шифрование или еще что-то. Возможно качество видео передачи не будет HD, зато вы будете спокойны с точки зрения приватности вашей беседы. Это может быть актуально для всех. Поэтому заранее нужно понять, какой формат онлайн-встреч у вас предполагается и уже исходя их этого подбирать себе инструмент. Главное всегда задавать себе вопрос: “Что в данном случае у меня в приоритете — безопасность и приватность или качество и удобство приложения?”. Бывает так, что для многих ситуаций — приватность вторична и наоборот.

На этом все. Не поддавайтесь массовому безумию и включайте критическое мышление.

Всем мира!

Также читайте меня тут: Telegram и Вконтакте

Written by

Investigations, OSINT, cybersecurity, profiling, self defense. https://t.me/artemov_security

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store