Вопросы к Zoom!

Популярная платформа для видеоконференций Zoom привлекает пользователей своей актуальностью и раскрученностью, а специалистов по защите информации ─ отсутствием безопасности.

Еще в 2019 году уязвимость данного сервиса подвергла пользователей Mac риску атак. Сейчас ситуация обострилась, ведь различные мероприятия все чаще стали переходить на онлайн-формат. Но многочисленные проблемы не позволяют обеспечить должную безопасность ни Вам, ни Вашим данным, ни Вашему устройству.

О некоторых уязвимостях и недостатках платформы Zoom в 2020 году:

• Злоумышленники беспрепятственно могли подключаться к разговорам, а так же к файлам, которыми обменивались участники чатов;
• После обновлений на ios вновь возникали проблемы: приложение отправляло данные о пользователях компании Facebook, но код, позволявший это делать, был устранен после многочисленных скандалов;
• О "странностях" в политике конфиденциальности приложения также было сказано ни один раз: отмечали, что Zoom собирал данные пользователей, а конкретно, информацию об именах, адресах и вновь файлы из переписки во время конфкренций;
• Недавно снова возникли обстоятельства, из-за которых журналисты и специалисты ИТ и ИБ-отделов подвергли Zoom критике. Пользователи, указавшие при регистрации личный email-адрес столкнулись с проблемой ─ раскрытие номеров и почтовых адресов тысячам человек;
• Пользователи Windows, установившие Zoom, также обнаружили кражу учетных данных:

Итак, в чем же минусы:

• Передача данных пользователей;
• Большое количество уязвимостей (они устраняются, но очень быстро обнаруживаются все больше новых);
• Вторжение третьих лиц в ход разговоров / конференций;
• Отсутствие сквозного шифрования (именно оно делает доступ к беседе возможным только для ее участников);
• Слабая конфиденциальность;
• Большое количество фейковых доменов (злоумышленники регистрируют их и создают одноименные вредоносные файлы, которые впоследствии попадают на устройство пользователя).

ФБР уже предупреждали, что возможно увеличение количества кибер-атак на данный сервис видеоконференций.А сотрудникам SpaceX и NASA и вовсе было запрещено использовать данное приложение для видеоконференций.

Как итог, можем сказать, что не стоит использовать данный сервис для видеоконференций в качестве основного. Для большей сохранности Ваших данных используйте:

• Discord
• Microsoft Teams
• Сигнал
• Viber, Whatsapp, как вариант, Skype
• Электронная почта, телефон (именно этот вариант предложила использовать для общения компания SpaceX)

Помните, что ни одно решение не может обеспечить защиту данных на все 100%, поэтому будьте внимательны и думайте о конфиденциальности.

Что еще?

Надо отметить, что прошла неделя с момента публикации данной статьи и один из сотрудников ЦЗИ Шартрез наткнулся на тревожное сообщение:

Мама пятиклассника из Калуги рассказала, что во время онлайн-урока трансляция была прервана показом контента для взрослых. А урок смотрели около 90 ребят из пятых классов. 

Отнеситесь внимательнее к тому, при помощи каких инструментов осуществляется удаленное обучение ваших детей.

Далее, наблюдая за новостями, наши специалисты часто находили материалы о уязвимостях Zoom. А 5 июня был опубликован материал о двух уязвимостях очень критического характера.

Это страшно, когда могут так запросто "взломать"!

Эти прорехи безопасности были найдены специалистами и довольно оперативно устранены. Но нет гарантии, что на другие возможные уязимости первыми наткнутся безопасники, а не злоумышленники. Поэтому рекомендуем Вам:

• предлагать переносить конференции в безопасные сервисы;
• назначать конференции на безопасных площадках;
• если на данный момент нет альтернативы, следить за актуальностью обновлений Zoom и антивируса.

Помните, что предлагая безопасные решения для онлайн-конференций, Вы подчеркиваете уважение к собеседникам!

Надежда Третьякова, Алексей Незговоров
Специалисты ЦЗИ Шартрез