Zoom — целенаправленный шпионаж или банальная халатность?

Материал подготовлен сообществом Data Privacy Coalition.

В разгар периода самоизоляции в центре внимания оказалось известное американское приложение для конференц-связи Zoom, популярность которого из-за массовой дистанционной работы и обучения выросла за последний месяц аж в двадцать раз, и Zoom вышел на уверенное первое место в США по количеству скачиваний.

Однако внимание он привлёк не столько увеличением количества пользователей, сколько скандалами, связанными с массовой утечкой корпоративных и личных данных пользователей Zoom в социальную сеть Facebook, а также тысячами записей видеоконференций, слитых в открытый доступ на Youtube и Vimeo.

Что такое Zoom и как он работает

Основное назначение Zoom — проведение видеоконференций, причём приложение обеспечивает поддержку видеопотока в HD качестве и одновременное подключение к беседе до ста участников. Также пользователи любят эту программу за возможность совместного использования экрана и создания чатов, где можно не только прикреплять различные вложения, но и работать с такими популярными облачными сервисами, как Google Discи Dropbox.

Кроме того, приложение позволяет открывать доступ к экрану мобильного устройства (функция расшаривания). Из дополнительных фишек имеется также функция «поднятия руки» во время беседы для того, чтобы задать вопрос.

Но, несмотря на хороший функционал, у «Зума» большие проблемы в обеспечении конфиденциальности пользователей. Так, приложение не поддерживает сквозное шифрование данных и имеет другие серьёзные бреши в системе безопасности, которые возникали как раз по причине добавления некоторых функций.

Attention tracking: я слежу за тобой

Например, функция Attention tracking (отслеживания внимания) позволяет вычислять тех, кто отвлекается от беседы на посторонние дела. Очевидно, что это кажется полезным руководителям компаний и ведущим учебных занятий, однако минусы Attention tracking значительно серьёзнее, поскольку эта функция использует трекеры слежения (скрипты, осуществляющие удалённую слежку за пользователями, в данном случае — посредством веб-камеры), что создаёт уязвимости в программе.

Прислушавшись к критике Attention tracking со стороны специалистов по кибербезопасности, разработчики из Zoom Video Communications решили избавиться от этой функции, о чём сообщили на сайте приложения: «2 апреля 2020 года мы удалили функцию отслеживания внимания пользователей в целях обеспечения безопасности и конфиденциальности наших клиентов».

SDK Facebook — Цукербергу стук-стук

Ещё одна проблема, которую предстояло решить разработчикам приложения, чтобы вернуть доверие пользователей, заключалась в том, что Zoom в автоматическом режиме передавал ряд данных компании Facebook, которая использует получаемую информацию в рекламных целях: по данным DuckDuckGo(поисковая система, выступающая против отслеживания пользовательских данных), рекламные трекеры «Фейсбука» размещены на 36% всех сайтов в интернете, и по этому показателю он уступает только Google с его 85%.

Какие же пользовательские данные передавал Zoom? Прежде всего время входа в приложение, местонахождение пользователя, тип устройства. Также среди пересылаемой информации был и рекламный ID, по которому сайты, связанные с Facebook, показывают пользователю таргетированную рекламу.

Но бедой разработчиков Zoom стало то, что их приложение на iOS отправляло «Фейбуку» данные не только о пользователях, у которых были аккаунты в этой социальной сети, но и о тех, кто на Facebook вообще зарегистрирован не был, а последнее в пользовательском соглашении прописано не было ни в каком виде, то есть налицо факт несанкционированной передачи информации: читай, шпионажа.

Zoom отреагировал на претензии пользователей, и разработчики удалили код SDK Facebook из своей программы, однако американцы всё равно стали подавать иски против компании, обвиняя её в нарушении местных законов о передаче данных. Владельцы «Зума» не учли одной простой вещи: слежка со стороны Facebook отключается только после обновления приложения, поэтому компания должна была обязать всех своих клиентов использовать новую версию Zoom.

Конфиденциальность? Нет, не слышали

Удаление Attention tracking и SDK Facebook из приложения — похвальные, хотя и запоздалые инициативы Zoom Video Communications, однако проблему безопасности это не решило: дело в том, что уязвимостей у Zoom и без того вагон и маленькая тележка.

Так, в политике конфиденциальности Zoom прямо указано, что рекламные партнёры (например, Google Ads и Google Analytics) сервиса автоматически собирают «некоторую информацию» о пользователях, когда они используют продукты компании. При этом что это за информация, не конкретизируется. Вот что по этому поводу пишет один из исследователей проблем компьютерной безопасности Док Сирлс (Doc Searls):

«Zoom занимается рекламой, причём в самом худшем её варианте: компания живёт за счёт собираемых личных данных пользователей. Но ещё более жутко то, что Zoom может собирать большое количество данных частного, интимного характера (например, беседа врача с пациентом), и ни один из участников беседы об этом не догадывается».

И далее: «Если ваш браузер заботится о конфиденциальности (например, Brave, Firefox или Safari), он, скорее всего, будет блокировать и рекламные трекеры, однако в Zoom вы не сможете определить, собираются ли ваши личные данные и каким образом это происходит». Затем специалист указывает на то, что в Zoom до недавнего времени вообще не было возможности отказаться от сбора личных данных о вас и от их продажи третьим лицам (налицо нарушение не только конфиденциальности, но и безопасности).

«Текущая политика конфиденциальности Zoom выглядит даже хуже, чем “у вас нет никакой конфиденциальности здесь”», — резюмирует специалист и выдаёт хлёсткое определение политики Zoom по отношению к пользователям: «Мы открываем ваши виртуальные шеи информационным вампирам, которые могут делать с ними всё, что захотят» (буквально: We expose your virtual necks to data vampires who can do what they will with it).

Обновление политики конфиденциальности

Шквал критики всё же заставил Zoom Video Communications пересмотреть политику конфиденциальности, и 29 марта появился обновлённый вариант текста, где в самом начале прямо указывается: «Мы не продаём ваши личные данные. Являетесь ли вы компанией, образовательным учреждением или отдельным пользователем, мы не продаём ваши данные».

Следующий важный пункт: «Ваши встречи только ваши. Мы не отслеживаем и даже не храним их после завершения собрания, если только их не запишет и не сохранит организатор конференции».

Ещё из интересного: «Zoom собирает только те пользовательские данные, которые необходимы для предоставления вам услуг Zoom... Например, мы собираем такую информацию, как IP-адрес пользователя, а также сведения об операционной системе и устройстве...»

И наконец: «Мы не используем данные, которые мы получаем от использования вами наших программ, для какой-либо рекламы. Мы используем данные, которые мы получаем от вас, когда вы посещаете наши коммерческие сайты, такие как zoom.us и zoom.com. Вы можете контролировать свои собственные настройки файлов cookie при посещении наших коммерческих сайтов».

На этом можно было бы и закругляться: сказать, что ребята молодцы, и порекомендовать обновлённый Zoomвсем, кто заботится о своей безопасности в интернете, однако здесь есть нюанс и, вопреки известному анекдоту, даже не один.

Другие уязвимости

Крупная неприятность поджидает пользователей ОС Windows, коих в мире абсолютное большинство. Выяснилось, что Zoom преобразует в ссылки UNC-пути, то есть пути... к файлам в Windows. Используя такие ссылки, по которым размещены изображения, аудиозаписи и другие медиафайлы, хакеру не составит никакого труда взломать хэши и получить доступ к учётным данным пользователей Zoom. В компании знают об этой уязвимости, однако пока никаких исправлений кода приложения не последовало.

А отсутствие сквозного шифрования приводит к тому, что в беседы могут вмешиваться посторонние: уже были случаи, когда таким образом срывались занятия и корпоративные видеоконференции, и розыгрыши здесь — самое безобидное, что может произойти с пользователями.

Зумовская «клубничка» и Илон Маск

На днях американское издание Washigton Post сообщило о тысячах бесед Zoom, попавших в открытый доступ, которые были опубликованы на площадках Youtube и Vimeo.

Журналисты издания, отсматривавшие эти материалы, сообщили, что в ряде слитых в сеть бесед содержится конфиденциальная информация: имена, номера телефонов, служебные списки, финансовая отчётность частных компаний, а также личные данные детей, засветившиеся на онлайн уроках, которые сейчас массово проводятся по всему миру в связи с карантином. Во многих видео ведутся глубоко личные, интимные беседы и даже представлена обнажённая натура: например, в одном чате преподаватель проводит обучение эпиляции.

Ситуация усугубляется тем, что возможен просмотр даже скрытых записей на серверах самого «Зума»: сообразительные юзеры могут открывать случайные видео, пользуясь типовой нумерацией, которой Zoomобозначает все свои материалы. При этом многие из засветившихся на видео пострадавших, с кем удалось пообщаться журналистам «Вашингтон Пост», заявляли, что даже не представляют, как их приватные беседы могли попасть в открытый доступ.

Ещё до скандала со сливом видео в сеть, своим сотрудникам запретил использовать Zoom Илон Маск. Глава корпораций SpaceX и Tesla отметил, что у сервиса серьёзные проблемы с конфиденциальностью и безопасностью, и порекомендовал использовать для корпоративного общения электронную почту и телефон. Руководители SpaceX блокировали доступ к Zoom для своих сотрудников 28 марта.

В NASA и Google тоже против Zoom

Представитель NASA Стефани Ширхольц в тот же день заявила, что руководство космического агентства США также запрещает своим сотрудникам использовать Zoom, а 30 марта предупреждение об использовании Zoomопубликовало бостонское отделение ФБР: служащим организации запрещалось делать встречи на сайте публичными и делиться любыми ссылками.

Из последних нерадостных для «Зума» новостей: от десктопного приложения Zoom отказались в Google. Reuters сообщает, что в Google с 8 апреля запретили использовать приложение на ноутбуках своих сотрудников, ссылаясь на проблемы безопасности Zoom.

Представитель компании, управляющей крупнейшей поисковой системой в мире, Хосе Кастанеда заявил: «Недавно наша служба безопасности сообщила сотрудникам, использующим Zoom Desktop Client, что эта программа больше не будет поддерживаться на корпоративных компьютерах, поскольку не соответствует нашим стандартам безопасности для приложений, используемых сотрудниками компании. Однако Google по-прежнему разрешает использование Zoom через мобильные приложения и браузеры».

Ранее ещё один удар под дых «Зум» получил от сайта новостных расследований The Intercept, где 31 марта появилась статья о том, что видео в Zoom не имеют шифрования и что сама компания может просматривать любые сеансы связи своих пользователей.

Они обещали исправиться...

0
50 комментариев
Написать комментарий...
Имя Фамилия

Они не были готовы к такой популярности. 
А сейчас подтянут все параметры безопасности и самоизоляция закончится. И после это будет понятно насколько они нужны в дальнейшей работе.

Ответить
Развернуть ветку
Станислав Одинцов

Есть Discord и там бесплатно

Ответить
Развернуть ветку
AeternaMens

Там тоже небезопасно. Причём в рамках соглашения с пользователем. 

Ответить
Развернуть ветку
Человек мира

Жду того дня, когда произойдёт окончательный закат приватности. Потому как, в реальности эта приватность нужна крайне узкой прослойке технических и технологических ноу хау (что тоже под большим вопросом, кстати). Кроме почесывания своего непомерного эго, какие ещё основания есть у обычных людей для сокрытия тех же трансляций в Зуме? Кому нужны ваши беседы? Даже если кто-то увидит, пардон, важу голую задницу, это никому не интересно, вы никому не интересны. Стоит хотя бы поразмышлять над приватностью в этом ключе. 

Ответить
Развернуть ветку
Станислав Антохи

Это не так. 
Ваша личная информация и беседы неинтересны только широкому кругу. 
Деловым конкурентам и личным недоброжелателям будет очень интересно. Чтобы иметь таких, необязательно быть олигархом.

Ответить
Развернуть ветку
Влад Лисицин

"Обычный человек" пожалуй не интересен. 
А 100? 
А 100 000 обычных? 
А 100 млн.? 
А все люди всех стран?  Включая будущих президентов/министров обороны/... через 10-20-30 лет?  ))) 

Ответить
Развернуть ветку
Вася Пражкин
 А все люди всех стран?

Для этого уже придумали Facebook и Instagram.

Ответить
Развернуть ветку
Человек мира

Я говорю про всеобщую открытость, когда никто не может скрыть от других свои как бы "персональные данные". В этой парадигме не вижу проблем с будущими президентами, министрами и прочими. 

Ответить
Развернуть ветку
Человек мира

И их тоже. Просто привыкнут жить в условиях прозрачной реальности, станет только лучше. 

Ответить
Развернуть ветку
Андрей Гуртовой

поддерживаю. Приватность только всё портит.

Ответить
Развернуть ветку
Dmitry Tinitilov

Серьезно? Вашей маме не звонили люди с фразами "Мама, я в тюрьме". Вы действительно хотите, чтобы у этих людей была асболютно вся информация про Вас и Ваших близких?

Ответить
Развернуть ветку
Человек мира

Я хочу, чтобы у всех была полностью прозрачная информация о всех. Разумеется, информационное неравенство плохо в любую сторону. В примере мама не знает, что это мошенники (хотя её телефон бы мог их так пометить при полной открытости), а мошенники знают что-то о маме. 

Ответить
Развернуть ветку
Dmitry Tinitilov

Идея интересная, но учтите, что у всех разные возможности воспользоваться информацией. Прайваси разных уровней несколько выравнивает шансы.

Ответить
Развернуть ветку
Тарас Погребняк

Бредовая статья от человека, который понятия не имеет, что такое безопасность 

Ответить
Развернуть ветку
Иван Подрезов

А конкретнее?

Ответить
Развернуть ветку
Андрей Гуртовой

сам ты бредовый

Ответить
Развернуть ветку
Лера Михайлова

Привет, спасибо за ваш материал и за то, что проставили все ссылки! Я немного поправила их оформление: на vc.ru можно зашивать ссылки в слова, для этого нужно выделить слово и нажать на «скрепку»

Ответить
Развернуть ветку
Вася Пражкин
 А отсутствие сквозного шифрования приводит к тому, что в беседы могут вмешиваться посторонние

Это совершенно неверный вывод. Сквозное шифрование никакого отношения к разделениям полномочий не имеет. Более того сквозное шифрование мало кому в принципе надо, так как большинство видео-конференций не содержат каких-либо секретов.

Ответить
Развернуть ветку
Mercator

Сказал товарищ Вася Пражкин с фейковым - наверняка - именем, без фото в профиле и с недействующим (удаленным?) привязанным аккаунтом на фб. Это только у Васи Пражкина секреты, а у всех остальных фуфло позорное.

Ответить
Развернуть ветку
Dmitry Vedenko

Хочешь я тебе тоже самое скажу? E2E в закрытых продуктах достигается исключительно юридически с помощью privacy policy, даже если оно три раза в твоем перемитре развернуто. То, что тебе Паша или Марк говорят, что в их мессенджерах E2E никак тебе не дает гарантий того, что сервер не устанавливает свои ключи с каждым из клиентов, потому что это хренов черный ящик для тебя.

 привязанным аккаунтом на фб

У VC баг уже года два, который не дает из профиля по ссыкам на ФБ ходить.

Ответить
Развернуть ветку
Mercator

То же самое что?

Ответить
Развернуть ветку
Dmitry Vedenko

То, что сквозное шифрование - маркетинг в большинстве случаев

Ответить
Развернуть ветку
Mercator

Я разве с этим спорила?

Ответить
Развернуть ветку
Dmitry Vedenko

Не, просто пассивно-агрессивный выпад сделала, ни с чем не споря :)

Ответить
Развернуть ветку
Mercator

Я спорила с утверждением, что у людей нет секретов, когда они проводят видеоконференции.

Ответить
Развернуть ветку
Андрей Гуртовой

E2E это end to end ?  тестирование  или что ?  зачем сокращать, теряя смысл.

Ответить
Развернуть ветку
Dmitry Vedenko

Это общепринятое сокращение

Ответить
Развернуть ветку
Андрей Гуртовой

для повышения ясности это сокращение лучше не использовать в отрыве от конкретного контекста. 

Ответить
Развернуть ветку
Dmitry Vedenko

Оно в контексте.

Ответить
Развернуть ветку
Mikhail Yakupov

просто корпоратам нужны серверные решения типа отечественного trueconf. за бугром тоже полно таких решений.
Остальным на безрыбье и рак щука, бухать в чате с друзьями или делать зарядку с коллегами - самое то и без сквозного шифрования.  

Ответить
Развернуть ветку
Лев Щенин

Обожаю читать такие расследования про всем известные компании.
"Обычаи делового американского оборота" - в чистом виде, так сказать, из первоисточника.
Хороший пример для доморощенных стартаперов и любителей смузи.

Ответить
Развернуть ветку
Alexander Gess

Обожаешь? Бери печеньки, кофиёк и читай, ёпта! 

Ответить
Развернуть ветку
Bulat Ziganshin

насколько я понимаю, оно не американское, а куплено wechat

Ответить
Развернуть ветку
LolKekNet

Однако компания частная, и на Nasdaq

Ответить
Развернуть ветку
Albrt

А что с альтернативами? Как дела у Microsoft Teams/Skype?

Ответить
Развернуть ветку
Data Privacy Coalition
Автор

Есть хорошая альтернатива с хорошей защитой и сквозным шифрованием (при том данные не "оседают" на серверах мессенджера вообще. Единственная проблема не работает для мульчи конференций. Только на два человек. Мессенджер Signal.  Сами им пользуемся.

Ответить
Развернуть ветку
Dmitry Vedenko

Это тот, который с авторизацией по телефону? И уязвимостей в нем не было?) https://www.cvedetails.com/vulnerability-list/vendor_id-17912/Signal.html

А бек внутри вашего периметра развернут? Или верим, что у них на бекенде тот же код, что опубликован?)

Ответить
Развернуть ветку
Андрей Гуртовой

https://jitsi.org/ - безопасно, гибко, бесплатно. А так же без анальных зондов от любых корпораций и свободно не как бесплатное пиво, но как свободная мысль ©

Я удивлён, что люди обсуждающие безопасность в сети, не обращают внимание на лагерь по ту сторону баррикад — про сообщество свободного программного обеспечения,  где  уже давно поняли НЕбезопасность проприетарных продуктов от корпораций, и поэтому создали свои хорошо работающие инструменты.  Тот же Сноуден был замечен общающимся через https://meet.jit.si/ , а на vc.ru походу и не знают про такое...

Ответить
Развернуть ветку
Dmitry Vedenko

И в чем ее безопасность? Обычный WebRTC. Они, правда, знают, что значит сокращение e2e, но вряд-ли это сильно им помогает

Ответить
Развернуть ветку
Андрей Гуртовой

Всмыыысле "в чём безопасность"?
webrtc имеет высокий уровень безопасности — все соединения защищены и зашифрованы согласно протоколам TLS и SRTP.
А если учесть что в jitsi есть ZRTP и OTR то мы можем быть уверены в том, что безопасность здесь на высоком уровне.

Ответить
Развернуть ветку
Dmitry Vedenko

Ты так говоришь, будто где-то нет TLS.

 ZRTP

Diffie–Hellman с модным названием. 

OTR 

Это тут причем? Только текст, только 1 на 1, скомпроментированный алгоритм хеширования и опять Diffie–Hellman

что безопасность здесь на высоком уровне

Ну да, ну да. Просто мы пользуемся сервисом от чуваков "мы хорошие, вы должны верить, что на наших серверах тот же код, что мы публикуем и что мы проходим постоянные аудиты и что нас не взломали"

Ответить
Развернуть ветку
Андрей Гуртовой

не понял выпада.
В webrtc есть всё что необходимо для хорошего уровня безопасности.

Ответить
Развернуть ветку
Dmitry Vedenko

Ну раз не понял - может тогда и не надо всем рассказывать про безопасность?)

Если у тебя есть сервис не периметре компании - то сколько бы много аббревиатур не использовалось на странице сервиса - приватность и безопасность становится юридическим, а нет техническим вопросом. Минимум потому, что ты не контролируешь чужие сервера, а все, что не использует PSK для установки ключа - уязвимо к MiTM

Ответить
Развернуть ветку
Андрей Гуртовой

Ну раз вы поняли, то может поясните для всех вокруг, где ошиблись создатели технологии WebRTC ?)

Вы хотите сказать, что если я пользуюсь WebRTC, то(допустим) мой провайдер легко сможет дешифровать потоковые данные предоставляемые WebRTC ? Или речь о том что в фирме jitsi могут сидеть недобропорядочные люди?

Ответить
Развернуть ветку
Dmitry Vedenko
 мой провайдер легко сможет дешифровать потоковые данные предоставляемые WebRTC

https://webrtchacks.com/webrtc-and-man-in-the-middle-attacks/

 jitsi могут сидеть недобропорядочные люди?

Да. Или их могли взломать. Но с зумом я буду юридически защищен и смогу требовать компенсацию - а с них - нет. 

И если мне просто понадобится WebRTC - то его легко можно внутри компании развернуть, там нет рокет сайенса никакого.

Ответить
Развернуть ветку
Dmitry Vedenko

Одна из уязвимостей вообще огонь:

 Many of the videos appear to have been recorded through Zoom’s software and saved onto separate online storage space without a password. It does not affect videos that remain with Zoom’s own system.

Если я в контакт выложу - тоже зум виноват будет?

Ответить
Развернуть ветку
Вадим Клюев

куча народу так и делает: постит настоящие телефоны, фотки, адреса, а потом все кругом виноваты

Ответить
Развернуть ветку
Data Privacy Coalition
Автор

Вообще грамотные системы должны делать защиту от дурака. Да и вообще это элементарная забота для пользователя. Предположим у вас укали деньги с карты вы же обратитесь в банк для выяснения обстоятельств?

Ответить
Развернуть ветку
Dmitry Vedenko

Каким образом? Запрещать шарить локально сохранённое видео?) Как-то не очень реализуемо и убивает всю суть записи этих видео

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Алексей Егоров

Чтобы защитить данные в Zoom, достаточно немного поковыряться в настройках. Тогда никакие хакеры не взломают трансляцию и не украдут пароли.Здесь подробно об этом написано: www.ispring.ru/elearning-insights/zoom-bezopasnost

Ответить
Развернуть ветку
47 комментариев
Раскрывать всегда