Zoom — целенаправленный шпионаж или банальная халатность?
Материал подготовлен сообществом Data Privacy Coalition.
В разгар периода самоизоляции в центре внимания оказалось известное американское приложение для конференц-связи Zoom, популярность которого из-за массовой дистанционной работы и обучения выросла за последний месяц аж в двадцать раз, и Zoom вышел на уверенное первое место в США по количеству скачиваний.
Однако внимание он привлёк не столько увеличением количества пользователей, сколько скандалами, связанными с массовой утечкой корпоративных и личных данных пользователей Zoom в социальную сеть Facebook, а также тысячами записей видеоконференций, слитых в открытый доступ на Youtube и Vimeo.
Что такое Zoom и как он работает
Основное назначение Zoom — проведение видеоконференций, причём приложение обеспечивает поддержку видеопотока в HD качестве и одновременное подключение к беседе до ста участников. Также пользователи любят эту программу за возможность совместного использования экрана и создания чатов, где можно не только прикреплять различные вложения, но и работать с такими популярными облачными сервисами, как Google Discи Dropbox.
Кроме того, приложение позволяет открывать доступ к экрану мобильного устройства (функция расшаривания). Из дополнительных фишек имеется также функция «поднятия руки» во время беседы для того, чтобы задать вопрос.
Но, несмотря на хороший функционал, у «Зума» большие проблемы в обеспечении конфиденциальности пользователей. Так, приложение не поддерживает сквозное шифрование данных и имеет другие серьёзные бреши в системе безопасности, которые возникали как раз по причине добавления некоторых функций.
Attention tracking: я слежу за тобой
Например, функция Attention tracking (отслеживания внимания) позволяет вычислять тех, кто отвлекается от беседы на посторонние дела. Очевидно, что это кажется полезным руководителям компаний и ведущим учебных занятий, однако минусы Attention tracking значительно серьёзнее, поскольку эта функция использует трекеры слежения (скрипты, осуществляющие удалённую слежку за пользователями, в данном случае — посредством веб-камеры), что создаёт уязвимости в программе.
Прислушавшись к критике Attention tracking со стороны специалистов по кибербезопасности, разработчики из Zoom Video Communications решили избавиться от этой функции, о чём сообщили на сайте приложения: «2 апреля 2020 года мы удалили функцию отслеживания внимания пользователей в целях обеспечения безопасности и конфиденциальности наших клиентов».
SDK Facebook — Цукербергу стук-стук
Ещё одна проблема, которую предстояло решить разработчикам приложения, чтобы вернуть доверие пользователей, заключалась в том, что Zoom в автоматическом режиме передавал ряд данных компании Facebook, которая использует получаемую информацию в рекламных целях: по данным DuckDuckGo(поисковая система, выступающая против отслеживания пользовательских данных), рекламные трекеры «Фейсбука» размещены на 36% всех сайтов в интернете, и по этому показателю он уступает только Google с его 85%.
Какие же пользовательские данные передавал Zoom? Прежде всего время входа в приложение, местонахождение пользователя, тип устройства. Также среди пересылаемой информации был и рекламный ID, по которому сайты, связанные с Facebook, показывают пользователю таргетированную рекламу.
Но бедой разработчиков Zoom стало то, что их приложение на iOS отправляло «Фейбуку» данные не только о пользователях, у которых были аккаунты в этой социальной сети, но и о тех, кто на Facebook вообще зарегистрирован не был, а последнее в пользовательском соглашении прописано не было ни в каком виде, то есть налицо факт несанкционированной передачи информации: читай, шпионажа.
Zoom отреагировал на претензии пользователей, и разработчики удалили код SDK Facebook из своей программы, однако американцы всё равно стали подавать иски против компании, обвиняя её в нарушении местных законов о передаче данных. Владельцы «Зума» не учли одной простой вещи: слежка со стороны Facebook отключается только после обновления приложения, поэтому компания должна была обязать всех своих клиентов использовать новую версию Zoom.
Конфиденциальность? Нет, не слышали
Удаление Attention tracking и SDK Facebook из приложения — похвальные, хотя и запоздалые инициативы Zoom Video Communications, однако проблему безопасности это не решило: дело в том, что уязвимостей у Zoom и без того вагон и маленькая тележка.
Так, в политике конфиденциальности Zoom прямо указано, что рекламные партнёры (например, Google Ads и Google Analytics) сервиса автоматически собирают «некоторую информацию» о пользователях, когда они используют продукты компании. При этом что это за информация, не конкретизируется. Вот что по этому поводу пишет один из исследователей проблем компьютерной безопасности Док Сирлс (Doc Searls):
«Zoom занимается рекламой, причём в самом худшем её варианте: компания живёт за счёт собираемых личных данных пользователей. Но ещё более жутко то, что Zoom может собирать большое количество данных частного, интимного характера (например, беседа врача с пациентом), и ни один из участников беседы об этом не догадывается».
И далее: «Если ваш браузер заботится о конфиденциальности (например, Brave, Firefox или Safari), он, скорее всего, будет блокировать и рекламные трекеры, однако в Zoom вы не сможете определить, собираются ли ваши личные данные и каким образом это происходит». Затем специалист указывает на то, что в Zoom до недавнего времени вообще не было возможности отказаться от сбора личных данных о вас и от их продажи третьим лицам (налицо нарушение не только конфиденциальности, но и безопасности).
«Текущая политика конфиденциальности Zoom выглядит даже хуже, чем “у вас нет никакой конфиденциальности здесь”», — резюмирует специалист и выдаёт хлёсткое определение политики Zoom по отношению к пользователям: «Мы открываем ваши виртуальные шеи информационным вампирам, которые могут делать с ними всё, что захотят» (буквально: We expose your virtual necks to data vampires who can do what they will with it).
Обновление политики конфиденциальности
Шквал критики всё же заставил Zoom Video Communications пересмотреть политику конфиденциальности, и 29 марта появился обновлённый вариант текста, где в самом начале прямо указывается: «Мы не продаём ваши личные данные. Являетесь ли вы компанией, образовательным учреждением или отдельным пользователем, мы не продаём ваши данные».
Следующий важный пункт: «Ваши встречи только ваши. Мы не отслеживаем и даже не храним их после завершения собрания, если только их не запишет и не сохранит организатор конференции».
Ещё из интересного: «Zoom собирает только те пользовательские данные, которые необходимы для предоставления вам услуг Zoom... Например, мы собираем такую информацию, как IP-адрес пользователя, а также сведения об операционной системе и устройстве...»
И наконец: «Мы не используем данные, которые мы получаем от использования вами наших программ, для какой-либо рекламы. Мы используем данные, которые мы получаем от вас, когда вы посещаете наши коммерческие сайты, такие как zoom.us и zoom.com. Вы можете контролировать свои собственные настройки файлов cookie при посещении наших коммерческих сайтов».
На этом можно было бы и закругляться: сказать, что ребята молодцы, и порекомендовать обновлённый Zoomвсем, кто заботится о своей безопасности в интернете, однако здесь есть нюанс и, вопреки известному анекдоту, даже не один.
Другие уязвимости
Крупная неприятность поджидает пользователей ОС Windows, коих в мире абсолютное большинство. Выяснилось, что Zoom преобразует в ссылки UNC-пути, то есть пути... к файлам в Windows. Используя такие ссылки, по которым размещены изображения, аудиозаписи и другие медиафайлы, хакеру не составит никакого труда взломать хэши и получить доступ к учётным данным пользователей Zoom. В компании знают об этой уязвимости, однако пока никаких исправлений кода приложения не последовало.
А отсутствие сквозного шифрования приводит к тому, что в беседы могут вмешиваться посторонние: уже были случаи, когда таким образом срывались занятия и корпоративные видеоконференции, и розыгрыши здесь — самое безобидное, что может произойти с пользователями.
Зумовская «клубничка» и Илон Маск
На днях американское издание Washigton Post сообщило о тысячах бесед Zoom, попавших в открытый доступ, которые были опубликованы на площадках Youtube и Vimeo.
Журналисты издания, отсматривавшие эти материалы, сообщили, что в ряде слитых в сеть бесед содержится конфиденциальная информация: имена, номера телефонов, служебные списки, финансовая отчётность частных компаний, а также личные данные детей, засветившиеся на онлайн уроках, которые сейчас массово проводятся по всему миру в связи с карантином. Во многих видео ведутся глубоко личные, интимные беседы и даже представлена обнажённая натура: например, в одном чате преподаватель проводит обучение эпиляции.
Ситуация усугубляется тем, что возможен просмотр даже скрытых записей на серверах самого «Зума»: сообразительные юзеры могут открывать случайные видео, пользуясь типовой нумерацией, которой Zoomобозначает все свои материалы. При этом многие из засветившихся на видео пострадавших, с кем удалось пообщаться журналистам «Вашингтон Пост», заявляли, что даже не представляют, как их приватные беседы могли попасть в открытый доступ.
Ещё до скандала со сливом видео в сеть, своим сотрудникам запретил использовать Zoom Илон Маск. Глава корпораций SpaceX и Tesla отметил, что у сервиса серьёзные проблемы с конфиденциальностью и безопасностью, и порекомендовал использовать для корпоративного общения электронную почту и телефон. Руководители SpaceX блокировали доступ к Zoom для своих сотрудников 28 марта.
В NASA и Google тоже против Zoom
Представитель NASA Стефани Ширхольц в тот же день заявила, что руководство космического агентства США также запрещает своим сотрудникам использовать Zoom, а 30 марта предупреждение об использовании Zoomопубликовало бостонское отделение ФБР: служащим организации запрещалось делать встречи на сайте публичными и делиться любыми ссылками.
Из последних нерадостных для «Зума» новостей: от десктопного приложения Zoom отказались в Google. Reuters сообщает, что в Google с 8 апреля запретили использовать приложение на ноутбуках своих сотрудников, ссылаясь на проблемы безопасности Zoom.
Представитель компании, управляющей крупнейшей поисковой системой в мире, Хосе Кастанеда заявил: «Недавно наша служба безопасности сообщила сотрудникам, использующим Zoom Desktop Client, что эта программа больше не будет поддерживаться на корпоративных компьютерах, поскольку не соответствует нашим стандартам безопасности для приложений, используемых сотрудниками компании. Однако Google по-прежнему разрешает использование Zoom через мобильные приложения и браузеры».
Ранее ещё один удар под дых «Зум» получил от сайта новостных расследований The Intercept, где 31 марта появилась статья о том, что видео в Zoom не имеют шифрования и что сама компания может просматривать любые сеансы связи своих пользователей.
Они обещали исправиться...
Они не были готовы к такой популярности.
А сейчас подтянут все параметры безопасности и самоизоляция закончится. И после это будет понятно насколько они нужны в дальнейшей работе.
Есть Discord и там бесплатно
Там тоже небезопасно. Причём в рамках соглашения с пользователем.
Жду того дня, когда произойдёт окончательный закат приватности. Потому как, в реальности эта приватность нужна крайне узкой прослойке технических и технологических ноу хау (что тоже под большим вопросом, кстати). Кроме почесывания своего непомерного эго, какие ещё основания есть у обычных людей для сокрытия тех же трансляций в Зуме? Кому нужны ваши беседы? Даже если кто-то увидит, пардон, важу голую задницу, это никому не интересно, вы никому не интересны. Стоит хотя бы поразмышлять над приватностью в этом ключе.
Это не так.
Ваша личная информация и беседы неинтересны только широкому кругу.
Деловым конкурентам и личным недоброжелателям будет очень интересно. Чтобы иметь таких, необязательно быть олигархом.
"Обычный человек" пожалуй не интересен.
А 100?
А 100 000 обычных?
А 100 млн.?
А все люди всех стран? Включая будущих президентов/министров обороны/... через 10-20-30 лет? )))
Для этого уже придумали Facebook и Instagram.
Я говорю про всеобщую открытость, когда никто не может скрыть от других свои как бы "персональные данные". В этой парадигме не вижу проблем с будущими президентами, министрами и прочими.
И их тоже. Просто привыкнут жить в условиях прозрачной реальности, станет только лучше.
поддерживаю. Приватность только всё портит.
Серьезно? Вашей маме не звонили люди с фразами "Мама, я в тюрьме". Вы действительно хотите, чтобы у этих людей была асболютно вся информация про Вас и Ваших близких?
Я хочу, чтобы у всех была полностью прозрачная информация о всех. Разумеется, информационное неравенство плохо в любую сторону. В примере мама не знает, что это мошенники (хотя её телефон бы мог их так пометить при полной открытости), а мошенники знают что-то о маме.
Идея интересная, но учтите, что у всех разные возможности воспользоваться информацией. Прайваси разных уровней несколько выравнивает шансы.
Бредовая статья от человека, который понятия не имеет, что такое безопасность
А конкретнее?
сам ты бредовый
Привет, спасибо за ваш материал и за то, что проставили все ссылки! Я немного поправила их оформление: на vc.ru можно зашивать ссылки в слова, для этого нужно выделить слово и нажать на «скрепку»
Это совершенно неверный вывод. Сквозное шифрование никакого отношения к разделениям полномочий не имеет. Более того сквозное шифрование мало кому в принципе надо, так как большинство видео-конференций не содержат каких-либо секретов.
Сказал товарищ Вася Пражкин с фейковым - наверняка - именем, без фото в профиле и с недействующим (удаленным?) привязанным аккаунтом на фб. Это только у Васи Пражкина секреты, а у всех остальных фуфло позорное.
Хочешь я тебе тоже самое скажу? E2E в закрытых продуктах достигается исключительно юридически с помощью privacy policy, даже если оно три раза в твоем перемитре развернуто. То, что тебе Паша или Марк говорят, что в их мессенджерах E2E никак тебе не дает гарантий того, что сервер не устанавливает свои ключи с каждым из клиентов, потому что это хренов черный ящик для тебя.
привязанным аккаунтом на фбУ VC баг уже года два, который не дает из профиля по ссыкам на ФБ ходить.
То же самое что?
То, что сквозное шифрование - маркетинг в большинстве случаев
Я разве с этим спорила?
Не, просто пассивно-агрессивный выпад сделала, ни с чем не споря :)
Я спорила с утверждением, что у людей нет секретов, когда они проводят видеоконференции.
E2E это end to end ? тестирование или что ? зачем сокращать, теряя смысл.
Это общепринятое сокращение
для повышения ясности это сокращение лучше не использовать в отрыве от конкретного контекста.
Оно в контексте.
просто корпоратам нужны серверные решения типа отечественного trueconf. за бугром тоже полно таких решений.
Остальным на безрыбье и рак щука, бухать в чате с друзьями или делать зарядку с коллегами - самое то и без сквозного шифрования.
Обожаю читать такие расследования про всем известные компании.
"Обычаи делового американского оборота" - в чистом виде, так сказать, из первоисточника.
Хороший пример для доморощенных стартаперов и любителей смузи.
Обожаешь? Бери печеньки, кофиёк и читай, ёпта!
насколько я понимаю, оно не американское, а куплено wechat
Однако компания частная, и на Nasdaq
А что с альтернативами? Как дела у Microsoft Teams/Skype?
Есть хорошая альтернатива с хорошей защитой и сквозным шифрованием (при том данные не "оседают" на серверах мессенджера вообще. Единственная проблема не работает для мульчи конференций. Только на два человек. Мессенджер Signal. Сами им пользуемся.
Это тот, который с авторизацией по телефону? И уязвимостей в нем не было?) https://www.cvedetails.com/vulnerability-list/vendor_id-17912/Signal.html
А бек внутри вашего периметра развернут? Или верим, что у них на бекенде тот же код, что опубликован?)
https://jitsi.org/ - безопасно, гибко, бесплатно. А так же без анальных зондов от любых корпораций и свободно не как бесплатное пиво, но как свободная мысль ©
Я удивлён, что люди обсуждающие безопасность в сети, не обращают внимание на лагерь по ту сторону баррикад — про сообщество свободного программного обеспечения, где уже давно поняли НЕбезопасность проприетарных продуктов от корпораций, и поэтому создали свои хорошо работающие инструменты. Тот же Сноуден был замечен общающимся через https://meet.jit.si/ , а на vc.ru походу и не знают про такое...
И в чем ее безопасность? Обычный WebRTC. Они, правда, знают, что значит сокращение e2e, но вряд-ли это сильно им помогает
Всмыыысле "в чём безопасность"?
webrtc имеет высокий уровень безопасности — все соединения защищены и зашифрованы согласно протоколам TLS и SRTP.
А если учесть что в jitsi есть ZRTP и OTR то мы можем быть уверены в том, что безопасность здесь на высоком уровне.
Ты так говоришь, будто где-то нет TLS.
ZRTPDiffie–Hellman с модным названием.
OTRЭто тут причем? Только текст, только 1 на 1, скомпроментированный алгоритм хеширования и опять Diffie–Hellman
что безопасность здесь на высоком уровнеНу да, ну да. Просто мы пользуемся сервисом от чуваков "мы хорошие, вы должны верить, что на наших серверах тот же код, что мы публикуем и что мы проходим постоянные аудиты и что нас не взломали"
не понял выпада.
В webrtc есть всё что необходимо для хорошего уровня безопасности.
Ну раз не понял - может тогда и не надо всем рассказывать про безопасность?)
Если у тебя есть сервис не периметре компании - то сколько бы много аббревиатур не использовалось на странице сервиса - приватность и безопасность становится юридическим, а нет техническим вопросом. Минимум потому, что ты не контролируешь чужие сервера, а все, что не использует PSK для установки ключа - уязвимо к MiTM
Ну раз вы поняли, то может поясните для всех вокруг, где ошиблись создатели технологии WebRTC ?)
Вы хотите сказать, что если я пользуюсь WebRTC, то(допустим) мой провайдер легко сможет дешифровать потоковые данные предоставляемые WebRTC ? Или речь о том что в фирме jitsi могут сидеть недобропорядочные люди?
https://webrtchacks.com/webrtc-and-man-in-the-middle-attacks/
jitsi могут сидеть недобропорядочные люди?Да. Или их могли взломать. Но с зумом я буду юридически защищен и смогу требовать компенсацию - а с них - нет.
И если мне просто понадобится WebRTC - то его легко можно внутри компании развернуть, там нет рокет сайенса никакого.
Одна из уязвимостей вообще огонь:
Many of the videos appear to have been recorded through Zoom’s software and saved onto separate online storage space without a password. It does not affect videos that remain with Zoom’s own system.Если я в контакт выложу - тоже зум виноват будет?
куча народу так и делает: постит настоящие телефоны, фотки, адреса, а потом все кругом виноваты
Вообще грамотные системы должны делать защиту от дурака. Да и вообще это элементарная забота для пользователя. Предположим у вас укали деньги с карты вы же обратитесь в банк для выяснения обстоятельств?
Каким образом? Запрещать шарить локально сохранённое видео?) Как-то не очень реализуемо и убивает всю суть записи этих видео
Комментарий удален модератором
Чтобы защитить данные в Zoom, достаточно немного поковыряться в настройках. Тогда никакие хакеры не взломают трансляцию и не украдут пароли.Здесь подробно об этом написано: www.ispring.ru/elearning-insights/zoom-bezopasnost