Для сдерживания масштабов пандемии огромное количество людей во всем мире начали работать удаленно из своих домов. Это привело к резкому росту популярности различных сервисов для проведения видеоконференций, а особенно сервиса Zoom, который до начала карантина имел значительно меньшее количество пользователей.
Резкий рост спроса на Zoom помог выявить проблемы конфиденциальности и безопасности сервиса, который сейчас используется даже для ежедневных встреч правительства Великобритании (хотя, Министерство обороны Великобритании запрещает своим работникам использовать сервис).
В течение нескольких последних дней количество критики насчет проблем безопасности Zoom от экспертов в области кибербезопасности стремительно росло. Стоит отметить, что генеральный директор компании извинился за проблемы и очертил меры по улучшению безопасности и конфиденциальности Zoom. Он также объявил 90-дневное замораживание функций, в течение которых компания сосредоточит все технические ресурсы на вопросах безопасности и конфиденциальности.
Проблемы безопасности, которые были обнаружены в Zoom в последнее время:
- В политике конфиденциальности компания не указала, что версия приложения для iOS направляет аналитические данные в Facebook, даже если пользователи не имеют аккаунта в социальной сети. Разработчики Zoom признали проблему и изъяли набор из средств разработки для Facebook (SDK) для iOS.
- Согласно данным исследования The Intercept, сервис не осуществляет сквозное шифрование видео и аудиоконференций, несмотря на то, что в Zoom долгое время утверждали обратное. Однако позже представители компании извинились и уточнили, что сервис использует транспортное шифрование (TLS).
- Также было установлено, что приложение содержит несколько уязвимостей безопасности, которые компания быстро исправила и выпустила обновления. В частности, в версии приложения для Windows была уязвимость введение маршрута UNC, которая могла привести к утечке учетных данных пользователей и даже к выполнению произвольных команд на их устройствах. Две другие ошибки касались клиента для MacOS и давали злоумышленникам возможность несанкционированного доступа к компьютерам пользователей.
- Компании также пришлось отказаться от функции «отслеживания посетителей», которая давала возможность владельцу конференции проверить, действительно ли участники внимательно смотрели трансляцию, когда он использовал режим обмена экраном.
Кроме этого, известны случаи, когда тролли и шутники получали доступ к частным встречам и школьным онлайн-урокам и включали страшные изображения.
От таких утечек данных и проблем конфиденциальности могло пострадать огромное количество людей, поскольку за последние три месяца количество ежедневных пользователей сервиса выросла с 10 до 200 миллионов человек. Однако, очевидно, компания была не готова к такому непредсказуемому успеху.
Как сделать видеоконференции безопаснее
Даже работая в удаленном режиме, мы не должны пренебрегать вопросами безопасности. Эффективные меры, которые можно предпринять для своей безопасности и конфиденциальности при общении в Zoom, включают:
- Использование функции защиты видеоконференций паролем. Для дополнительной защиты можно оставлять участников в «режиме ожидания» и персонально подтверждать или отклонять запросы на подключение к конференции.
- Применение ограничения доступа к экрану.
- Использование актуальной версии приложения и регулярная установка обновлений, которые могут содержать важные исправления уязвимостей безопасности.
- Воздержание от распространения ссылок или ID конференций в социальных сетях.
- Использование ID для присоединения к конференции. Поскольку с ростом популярности Zoom, увеличилось и количество злоумышленников, которые под видом ссылок на конференции распространяют фишинговые ссылки.