Витік даних і хакерські атаки. Що не так із Zoom і як захиститися
Витік даних і хакерські атаки. Що не так із Zoom і як захиститися
Zoom Us
Через пандемію коронавірусу COVID-19 весь світ змушений тимчасово обмежити соціальні контакти. Отже, робочі зустрічі, шкільне навчання, лекції та тренінги, і навіть дружні посиденьки доводиться переводити в режим онлайн. Наразі найпопулярнішим додатком для цього є Zoom — ним користуються у різних кінцях світу.
Розробник програми — американська компанія Zoom Video Communications, Inc., яку заснував у 2011 році бізнесмен китайського походження Ерік Юань, колишній віцепрезидент Cisco Systems.
Перед початком роботи вам необхідно скачати цю програму на свій комп’ютер або смартфон. Якщо хочете організувати конференцію, маєте створити посилання на неї та розіслати всім, кого бажаєте запросити до розмови.
Zoom популярний через зручність застосунку, хорошу якість зв’язку та широкий набір опцій. Програма не глючить та не підвисає, навіть коли до неї одночасно підключається кілька десятків користувачів. Окрім відео, програма має чат, де можна залишати текстові повідомлення прямо під час розмови. Тут можна говорити як з відео, так і без, організатор має право відключити звук усім учасникам конференції або кільком з них на власний розсуд, що часто роблять, аби фонові звуки не заважали спікеру. Також цей додаток дозволяє записувати конференцію, є тут і функція демонстрації екрану. При чому, не всього, а лише конкретного вікна, яке вам потрібно показати іншим учасникам бесіди.
Крім того, додаток можна використовувати і для запису відеофайлів. Скажімо, вам необхідно записати лекцію чи відеозвернення. Для цього можна відкрити Zoom, створити нову конференцію, увімкнути запис трансляції та наговорити все, що потрібно. При цьому, не запрошуючи інших учасників до розмови.
Зазвичай, безкоштовна версія Zoom має обмеження для використання — максимум 40 хвилин, після яких ефір завершиться автоматично. Платна версія дозволяє використовувати час безлімітно. Проте в умовах карантину Zoom безкоштовно дарує користувачам час — автоматично подовжує ваш ефір після 40 хвилин.
Що ж не так із цією надпопулярною програмою?
Порно посеред робочої наради
27 березня видання The Guardian опублікувало матеріал, де йдеться про хакерські атаки на програму Zoom. Цю тему підхопили й інші видання, наприклад, The New York Times, також Daily Mail, New York Post, The Washington Post тощо. Про зірвані шкільні уроки в США, наприклад, писали такі американські ЗМІ, як Boston Globe та Los-Angeles Times. Про небезпеки, пов’язані з використанням Zoom, на своєму сайті попереджають навіть Федеральне бюро розслідувань, Департамент внутрішньої безпеки США та Канадський центр кібербезпеки.
Так, почастішали випадки, коли хакери «вдираються» у чужі розмови та переривають їх. Пишуть у чат непристойні, агресивні повідомлення або ж демонструють замість презентації на екрані порнографію, сцени насильства, зображення статевих органів тощо. Для цього використовують функцію демонстрації екрану: тобто, хакер, який зламав чужий чат, включає порно на своєму пристрої та вмикає кнопку «Показати екран» усім підключеним до конференції користувачам.
Окрім цього, хакери практикують також і розсилання через чат посилань, які потенційно можуть зашкодити вашому комп’ютеру. Для таких атак навіть придумали термін — Zoom bombing.
Друга небезпека, на яку наражаються користувачі Zoom, — витік персональних даних та порушення умов конфіденційності. Виявилося, що тисячі приватних відеодзвінків записувалися: їх «злили» на платформи YouYube та Vimeo. Люди, які консультуються зі своїми лікарями онлайн, школярі, що виконують домашні завдання дистанційно, друзі, які обговорюють останні новини, колеги, що діляться напрацьовками за час карантину, — все це з’явилося у відкритому доступі. Звичайно, без згоди самих користувачів на це. Обличчя всіх учасників конференцій добре видно, деякі з них під час відео озвучують особисту інформацію: імена та прізвища, номери телефонів чи адреси.
Третя небезпека — злив додатком Zoom персональних даних до компанії Facebook. При чому, навіть тих людей, які не зареєстровані в цій соцмережі.
Деякі великі компанії, наприклад, SpaceX Ілона Маска та Google відмовилися від використання програми Zoom через її сумнівну репутацію. У школах Нью-Йорка теж заборонили використовувати Zoom. Услід за ними на цей крок пішли урядові структури Тайваню, Німеччини. Для Тайваню аргументом, зокрема, стала переадресація трафіку користувачів Zoom через дата-центри в Китаї, з яким у Тайваню довготривалий конфлікт (Тайвань — частково визнана держава, яку Китай вважає своєю територією з особливим статусом).
Засновник і гендиректор Zoom Ерік Юань вибачився за помилки компанії, визнавши, що вони не виправдали очікувань щодо конфіденційності та безпеки. Щоб поліпшити безпеку та приватність, компанія, зокрема, залучила позаштатного консультанта — колишнього безпекового офіцера Facebook Алекса Стамоса.
Цікаво, що Zoom не вперше звинувачують у некоректній роботі їхнього забезпечення. Так, про збої в роботі додатка ЗМІ писали ще влітку минулого, 2019 року. Тоді йшлося про вразливості вебкамери на комп’ютерах МасOS: на них додаток Zoom таємно встановлював вебсервер, який умів автоматично підключати користувача до відеодзвінків за командою з будь-якої вебсторінки. Цей сервер залишався на комп’ютерах і після видалення Zoom і навіть міг знову встановити додаток. Звертали увагу й на те, що додаток не має функції автоматичного оновлення. Тобто навіть якщо компанія виправила несправності та випустила новішу версію програми, все одно залишалися користувачі, які продовжували використовувати стару, проблемну версію. Тоді Zoom запевнила, що випустила оновлення, які усунули вразливості.
Які можуть бути альтернативи
Програм із таким самим функціоналом, як Zoom, при цьому зашифрованих наскрізним шифруванням групових розмов наразі просто немає, каже MediaSapiens експерт із цифрової безпеки Микола Костинян.
«Для зашифрованих групових розмов зазвичай використовують звичайний WhatsApp, інколи — менш відомий Wire», — каже він.
Журналістка Forbes, приміром, у цьому матеріалі в якості альтернативи радить користуватися додатками Signal або Jitsi.
Функції відеодзвінків підтримують, зокрема, й такі додатки, як Viber, Facebook, Telegram. Вони підійдуть для спілкування з друзями або родичами. Відеоконференції можна влаштовувати, наприклад, у месенджері Facebook — для цього потрібно зателефонувати в груповий чат, або в додатку Google Hangouts.
«Якщо ж вам потрібні альтернативи для секретних розмов, скоріше за все, ви їх і так знаєте, бо користувалися ними раніше. Але там ніколи не буде такого функціоналу, як у Zoom. З іншого боку, я не уявляю собі суперсекретної розмови на велику кількість учасників, і щоб потрібен був скріншерінг і всі додаткові опції», — додає пан Костинян.
Щодо того, чи безпечний Zoom у цілому, він погоджується з думкою відомого експерта з безпеки на прізвисько Grugq. Думка ця зводиться до наступного: Zoom не призначений для розмов стосовно національної безпеки, розмов із секретними джерелами, викривачами інформації тощо.
«Але для вебінарів, робочих нарад, не супертаємних розмов він — цілком ок, користуйтеся. Сам я користуюся Zoom для робочих нарад, вебінарів та онлайн-розмов без проблем», — коментує експерт.
Як убезпечитися в Zoom
Через гучний скандал Zoom довелося випустити чергові оновлення, у яких додали захисних функцій, які мають додатково убезпечити користувачів від зламу. Про це йдеться й на офіційній фейсбук-сторінці застосунка.
Приміром, модератор конференції має можливість підтвердити чи заборонити додавання до розмови нового користувача. Функція «Зал очікування» допомагає організатору контролювати, хто приходить і йде. Тобто, якщо ви бачите незнайомий або підозрілий нікнейм людини, яка намагається приєднатися до вашої конференції, ви можете заборонити їй це.
Крім того, можна вимкнути мікрофони для всіх учасників на вході в конференцію — це дозволить уникнути неочікуваних «звукових» сюрпризів. Адже один з видів хакерських атак, які були популярні, зокрема, на самому початку карантину, — це гучне вмикання музики під час вашої презентації. Можна й узагалі закрити зустріч так, щоб нові учасники не могли до неї доєднатися в процесі.
Ще одна опція, яка додатково захищає від хакерських втручань, — заборона для інших учасників показувати екран під час конференції. Її також може увімкнути модератор.
Варто не забувати й про загальні правила кібербезпеки: використовувати надійний пароль; не викладати посилання на конференцію у відкритому доступі в соцмережах; негайно повідомляти про всі атаки в службу підтримки. І пам'ятати, що через інтернет не варто вести конфіденційні розмови.
Детальні інструкції, як захиститися під час розмови, можна знайти в блозі самого Zoom. Або скористатися порадами від української Лабораторії цифрової безпеки.
Фото: Zoom.us