În vreme ce tot mai multe persoane sunt nevoite să lucreze de la distanță, din cauza restricțiilor impuse de răspândirea COVID-19 în lume, aplicația Zoom câștigă tot mai multă popularitate. Parcă apărută de nicăieri – câţi aţi utilizat-o înainte de coronavirus? – ZOOM a devenit brusc vedeta studenţilor, elevilor şi profesorilor, ba chiar a pensionarilor mai dibaci, care vor să-şi vadă nepoţeii chicotind şi să petreacă sfintele sărbători alături de cei dragi lor.
Dar, cum nimic nu e gratis şi perfect, iată că şi ZOOM vine la pachet cu surprize. Şi nu plăcute. Ne-o spun chiar specialiştii de la CERT-RO, care ştiu totul în materie de vulnerabilităţi ascunse.
Zoom știe când nu ești atent la videoconferință
Când o persoană inițiază o videoconferință și are rolul de gazdă, are la îndemână activarea opțiunii de urmărire a atenției celorlalți participanți, primind notificări dacă aceștia nu acordă atenție ecranului mai mult de 30 de secunde.
Indiferent dacă utilizatorii citesc mail-ul, lucrează la un fișier, la un raport sau chiar nu sunt atenți și efectuează alte activități pe internet, gazda apelului video primește o notificare despre acest lucru. Problema principală a acestei funcții, specifice Zoom, o reprezintă faptul că participanții nu primesc o notificare care să indice că acest proces este activ și, în consecință, nu își dau acordul pentru a le fi urmărită activitatea în acest mod.
Este important de știut faptul că gazda video-call-ului poate decide să înregistreze apelul pentru fi redat ulterior. Mai mult, Zoom salvează un fișier .TXT al mesajelor de chat de la acest meeting video online. Conform paginii sale de asistență pe această temă, chat-ul salvat va include doar mesaje de la gazdă și spearkeri către toți participanții. Cu toate acestea, nu clarifică ce se va întâmpla cu mesajele directe între participanți!
Zoom nu îți urmărește doar atenția, te urmărește pe tine
Conform politicilor de confidențialitate, Zoom colectează informații despre utilizatori, informații personale precum nume, adresă, adresă de mail, număr de telefon, titulatura job-ului, angajatorul. Chiar dacă nu îți creezi un cont Zoom și te conectezi cu un alt serviciu, aplicația tot va colecta informații precum tipul de dispozitiv utilizat și adresa IP.
Specialiști în securitate au identificat, recent, faptul că Zoom a distribuit într-o modalitate incorectă informații către Facebook. Chiar dacă utilizatorul nu se autentifica prin contul de Facebook. Între timp, acest SDK a fost exclus din aplicație, dar utilizatorii care nu au actualizările la zi încă mai pot fi afectați.
Nu întâmplător, Zoom Video Communications Inc l-a angajat în funcţia de consilier pe fostul director pentru securitate de la Facebook, Alex Stamos, şi a înfiinţat un consiliu consultativ pentru a îmbunătăţi protecţia datelor şi securitatea, pe fondul îngrijorărilor globale legate de aplicaţia Zoom, relatează Reuters.
Zoom nu utilizează criptarea end-to-end
Zoom are propria metodă de criptare end-to-end encryption (E2EE), care induce în eroare utilizatorii, deoarece metoda de criptare utilizată este TLS (transport layer security), aceeași metodă întâlnită la protecția conexiunilor HTTPS.
TLS protejează conexiunile împotriva interceptării de către persoane neautorizate, dar nu și împotriva serverelor Zoom. E2EE ar trebui să permită decriptarea informației doar în momentul în care ajunge la destinatar, dar în cazul de față este permisă și decriptarea de către serverul Zoom.
Bug Zoom care permite acces neautorizat la camera web
Anul trecut, un consultant în domeniul securității cibernetice a descoperit că Zoom a creat un server web local pe dispozitivul Mac al unui utilizator, care a permis Zoom să ocolească funcțiile de securitate în browserul de internet Safari 12.
Acest server web nu a fost menționat în nicio documentație oficială a Zoom și a fost folosit pentru a ocoli activarea unei ferestre de tip pop-up, pe care Safari 12 o afișa înainte de a porni camera dispozitivului.
Din nefericire, acest server web de la distanță nu a fost securizat în mod adecvat. Aproape orice site web ar fi putut interacționa cu acesta. Rezultatul acestei acțiuni a fost că Zoom, practic, a permis site-urilor web malițioase să preia camera dispozitivului dvs. Mac, fără emiterea unei avertizări în acest sens.
Zoombombing
Zoom permite în mod prestabilit ca toți utilizatorii să poată utiliza funcția de share screen. În cazul în care gazda nu dezactivează această funcție, persoanele rău intenționate pot perturba video-conferința prin distribuirea de materiale cu conținut stânjenitor. Zoombombing poate apărea, în general, atunci când link-ul de acces al video-conferinței este făcut public. Au existat deja cazuri în SUA, în care cursuri din mediul educațional au fost perturbate sau deturnate de către atacatori.
Cum vă puteți proteja datele
-
- Utilizați două dispozitive în timpul apelurilor prin Zoom. Dacă folosiți Zoom pe computer, atunci folosiți un alt dispozitiv, precum telefonul mobil, pentru sarcini precum verificarea contului de mail. În acest mod nu se va declanșa sistemul de alertare asupra atenției utilizatorului.
- Evitați autentificarea prin Facebook. Este adevărat ca vă poate economisi din timp, dar problemele de securitate permit accesul la datele dumneavoastră personale.
- Folosiți aplicația doar cu actualizările la zi. Zoom a eliminat serverul web din ecuație la ultimele versiuni ale aplicației. Dacă ați efectuat actualizare aplicației la cele mai recente versiuni, atunci nu mai trebuie să vă faceți griji în privința acestei probleme.
- Protejați-vă apelurile împotriva Zoombombing. Înainte de a iniția o video-conferință publică, intrați în meniul Settings (setări) și modificați opțiunea Screen Sharing (partajare ecran) la setarea “Host only”, dezactivați “Join Before Host”, dezactivați “Allow Removed Participants to Rejoin” și dezactivați “File Transfers”. Iar dacă tipul conferinței vă permite, protejați-vă conferința prin configurarea unei parole de acces.
În ultimele zile, Taiwan şi Germania au restricţionat folosirea aplicaţiei, iar şeful SpaceX, Elon Musk, a interzis angajaţilor să o utilizeze din cauza problemelor de securitate ale aplicaţiei. Zoom, care concurează cu Teams (aplicaţia Microsoft) şi cu Webex (de la Cisco), a înregistrat o creştere record a acţiunilor în martie.
Numărul de utilizatori zilnici a depăşit 200 de milioane în martie, de la precedentul nivel maxim de zece milioane, a anunţat directorul general Eric Yuan.