Zoom — целенаправленный шпионаж или банальная халатность?

Материал подготовлен сообществом Data Privacy Coalition.

В разгар периода самоизоляции в центре внимания оказалось известное американское приложение для конференц-связи Zoom, популярность которого из-за массовой дистанционной работы и обучения выросла за последний месяц аж в двадцать раз, и Zoom вышел на уверенное первое место в США по количеству скачиваний.

Однако внимание он привлёк не столько увеличением количества пользователей, сколько скандалами, связанными с массовой утечкой корпоративных и личных данных пользователей Zoom в социальную сеть Facebook, а также тысячами записей видеоконференций, слитых в открытый доступ на Youtube и Vimeo.

Что такое Zoom и как он работает

Основное назначение Zoom — проведение видеоконференций, причём приложение обеспечивает поддержку видеопотока в HD качестве и одновременное подключение к беседе до ста участников. Также пользователи любят эту программу за возможность совместного использования экрана и создания чатов, где можно не только прикреплять различные вложения, но и работать с такими популярными облачными сервисами, как Google Discи Dropbox.

Кроме того, приложение позволяет открывать доступ к экрану мобильного устройства (функция расшаривания). Из дополнительных фишек имеется также функция «поднятия руки» во время беседы для того, чтобы задать вопрос.

Но, несмотря на хороший функционал, у «Зума» большие проблемы в обеспечении конфиденциальности пользователей. Так, приложение не поддерживает сквозное шифрование данных и имеет другие серьёзные бреши в системе безопасности, которые возникали как раз по причине добавления некоторых функций.

Attention tracking: я слежу за тобой

Например, функция Attention tracking (отслеживания внимания) позволяет вычислять тех, кто отвлекается от беседы на посторонние дела. Очевидно, что это кажется полезным руководителям компаний и ведущим учебных занятий, однако минусы Attention tracking значительно серьёзнее, поскольку эта функция использует трекеры слежения (скрипты, осуществляющие удалённую слежку за пользователями, в данном случае — посредством веб-камеры), что создаёт уязвимости в программе.

Прислушавшись к критике Attention tracking со стороны специалистов по кибербезопасности, разработчики из Zoom Video Communications решили избавиться от этой функции, о чём сообщили на сайте приложения: «2 апреля 2020 года мы удалили функцию отслеживания внимания пользователей в целях обеспечения безопасности и конфиденциальности наших клиентов».

SDK Facebook — Цукербергу стук-стук

Ещё одна проблема, которую предстояло решить разработчикам приложения, чтобы вернуть доверие пользователей, заключалась в том, что Zoom в автоматическом режиме передавал ряд данных компании Facebook, которая использует получаемую информацию в рекламных целях: по данным DuckDuckGo(поисковая система, выступающая против отслеживания пользовательских данных), рекламные трекеры «Фейсбука» размещены на 36% всех сайтов в интернете, и по этому показателю он уступает только Google с его 85%.

Какие же пользовательские данные передавал Zoom? Прежде всего время входа в приложение, местонахождение пользователя, тип устройства. Также среди пересылаемой информации был и рекламный ID, по которому сайты, связанные с Facebook, показывают пользователю таргетированную рекламу.

Но бедой разработчиков Zoom стало то, что их приложение на iOS отправляло «Фейбуку» данные не только о пользователях, у которых были аккаунты в этой социальной сети, но и о тех, кто на Facebook вообще зарегистрирован не был, а последнее в пользовательском соглашении прописано не было ни в каком виде, то есть налицо факт несанкционированной передачи информации: читай, шпионажа.

Zoom отреагировал на претензии пользователей, и разработчики удалили код SDK Facebook из своей программы, однако американцы всё равно стали подавать иски против компании, обвиняя её в нарушении местных законов о передаче данных. Владельцы «Зума» не учли одной простой вещи: слежка со стороны Facebook отключается только после обновления приложения, поэтому компания должна была обязать всех своих клиентов использовать новую версию Zoom.

Конфиденциальность? Нет, не слышали

Удаление Attention tracking и SDK Facebook из приложения — похвальные, хотя и запоздалые инициативы Zoom Video Communications, однако проблему безопасности это не решило: дело в том, что уязвимостей у Zoom и без того вагон и маленькая тележка.

Так, в политике конфиденциальности Zoom прямо указано, что рекламные партнёры (например, Google Ads и Google Analytics) сервиса автоматически собирают «некоторую информацию» о пользователях, когда они используют продукты компании. При этом что это за информация, не конкретизируется. Вот что по этому поводу пишет один из исследователей проблем компьютерной безопасности Док Сирлс (Doc Searls):

«Zoom занимается рекламой, причём в самом худшем её варианте: компания живёт за счёт собираемых личных данных пользователей. Но ещё более жутко то, что Zoom может собирать большое количество данных частного, интимного характера (например, беседа врача с пациентом), и ни один из участников беседы об этом не догадывается».

И далее: «Если ваш браузер заботится о конфиденциальности (например, Brave, Firefox или Safari), он, скорее всего, будет блокировать и рекламные трекеры, однако в Zoom вы не сможете определить, собираются ли ваши личные данные и каким образом это происходит». Затем специалист указывает на то, что в Zoom до недавнего времени вообще не было возможности отказаться от сбора личных данных о вас и от их продажи третьим лицам (налицо нарушение не только конфиденциальности, но и безопасности).

«Текущая политика конфиденциальности Zoom выглядит даже хуже, чем “у вас нет никакой конфиденциальности здесь”», — резюмирует специалист и выдаёт хлёсткое определение политики Zoom по отношению к пользователям: «Мы открываем ваши виртуальные шеи информационным вампирам, которые могут делать с ними всё, что захотят» (буквально: We expose your virtual necks to data vampires who can do what they will with it).

Обновление политики конфиденциальности

Шквал критики всё же заставил Zoom Video Communications пересмотреть политику конфиденциальности, и 29 марта появился обновлённый вариант текста, где в самом начале прямо указывается: «Мы не продаём ваши личные данные. Являетесь ли вы компанией, образовательным учреждением или отдельным пользователем, мы не продаём ваши данные».

Следующий важный пункт: «Ваши встречи только ваши. Мы не отслеживаем и даже не храним их после завершения собрания, если только их не запишет и не сохранит организатор конференции».

Ещё из интересного: «Zoom собирает только те пользовательские данные, которые необходимы для предоставления вам услуг Zoom... Например, мы собираем такую информацию, как IP-адрес пользователя, а также сведения об операционной системе и устройстве...»

И наконец: «Мы не используем данные, которые мы получаем от использования вами наших программ, для какой-либо рекламы. Мы используем данные, которые мы получаем от вас, когда вы посещаете наши коммерческие сайты, такие как zoom.us и zoom.com. Вы можете контролировать свои собственные настройки файлов cookie при посещении наших коммерческих сайтов».

На этом можно было бы и закругляться: сказать, что ребята молодцы, и порекомендовать обновлённый Zoomвсем, кто заботится о своей безопасности в интернете, однако здесь есть нюанс и, вопреки известному анекдоту, даже не один.

Другие уязвимости

Крупная неприятность поджидает пользователей ОС Windows, коих в мире абсолютное большинство. Выяснилось, что Zoom преобразует в ссылки UNC-пути, то есть пути... к файлам в Windows. Используя такие ссылки, по которым размещены изображения, аудиозаписи и другие медиафайлы, хакеру не составит никакого труда взломать хэши и получить доступ к учётным данным пользователей Zoom. В компании знают об этой уязвимости, однако пока никаких исправлений кода приложения не последовало.

А отсутствие сквозного шифрования приводит к тому, что в беседы могут вмешиваться посторонние: уже были случаи, когда таким образом срывались занятия и корпоративные видеоконференции, и розыгрыши здесь — самое безобидное, что может произойти с пользователями.

Зумовская «клубничка» и Илон Маск

На днях американское издание Washigton Post сообщило о тысячах бесед Zoom, попавших в открытый доступ, которые были опубликованы на площадках Youtube и Vimeo.

Журналисты издания, отсматривавшие эти материалы, сообщили, что в ряде слитых в сеть бесед содержится конфиденциальная информация: имена, номера телефонов, служебные списки, финансовая отчётность частных компаний, а также личные данные детей, засветившиеся на онлайн уроках, которые сейчас массово проводятся по всему миру в связи с карантином. Во многих видео ведутся глубоко личные, интимные беседы и даже представлена обнажённая натура: например, в одном чате преподаватель проводит обучение эпиляции.

Ситуация усугубляется тем, что возможен просмотр даже скрытых записей на серверах самого «Зума»: сообразительные юзеры могут открывать случайные видео, пользуясь типовой нумерацией, которой Zoomобозначает все свои материалы. При этом многие из засветившихся на видео пострадавших, с кем удалось пообщаться журналистам «Вашингтон Пост», заявляли, что даже не представляют, как их приватные беседы могли попасть в открытый доступ.

Ещё до скандала со сливом видео в сеть, своим сотрудникам запретил использовать Zoom Илон Маск. Глава корпораций SpaceX и Tesla отметил, что у сервиса серьёзные проблемы с конфиденциальностью и безопасностью, и порекомендовал использовать для корпоративного общения электронную почту и телефон. Руководители SpaceX блокировали доступ к Zoom для своих сотрудников 28 марта.

В NASA и Google тоже против Zoom

Представитель NASA Стефани Ширхольц в тот же день заявила, что руководство космического агентства США также запрещает своим сотрудникам использовать Zoom, а 30 марта предупреждение об использовании Zoomопубликовало бостонское отделение ФБР: служащим организации запрещалось делать встречи на сайте публичными и делиться любыми ссылками.

Из последних нерадостных для «Зума» новостей: от десктопного приложения Zoom отказались в Google. Reuters сообщает, что в Google с 8 апреля запретили использовать приложение на ноутбуках своих сотрудников, ссылаясь на проблемы безопасности Zoom.

Представитель компании, управляющей крупнейшей поисковой системой в мире, Хосе Кастанеда заявил: «Недавно наша служба безопасности сообщила сотрудникам, использующим Zoom Desktop Client, что эта программа больше не будет поддерживаться на корпоративных компьютерах, поскольку не соответствует нашим стандартам безопасности для приложений, используемых сотрудниками компании. Однако Google по-прежнему разрешает использование Zoom через мобильные приложения и браузеры».

Ранее ещё один удар под дых «Зум» получил от сайта новостных расследований The Intercept, где 31 марта появилась статья о том, что видео в Zoom не имеют шифрования и что сама компания может просматривать любые сеансы связи своих пользователей.

Они обещали исправиться...