Все «дыры» Zoom: чем рискуют пользователи самого популярного сервиса видеоконференций эпохи карантина
Сервис интернет-видеоконференций Zoom за последний год нарастил свою капитализацию на NASDAQ на 127% — до $41,6 млрд. Инвесторам понравился проект, ставший популярным из-за массового перехода на удаленную работу во время пандемии коронавируса.
Но у пользователей возникли претензии к безопасности Zoom: люди жаловались на передачу их данных в Facebook, на утечки видеозаписей и личной контактной информации. Zoom стал ответчиком по иску о нарушении приватности пользователей в США. Из-за проблем с безопасностью от использования Zoom только за последние недели отказались SpaceX, Apple, Google, NASA, Пентагон и Сенат США. В России крупные компании пока не делали таких заявлений, хотя против использования сервиса в школах выступили власти Саратова.
Почему это важно? В России Zoom стал наиболее быстрорастущим сервисом видеоконференций, выяснил оператор Yota. Объем трафика Zoom вырос более чем в 8 раз за последние две недели марта по сравнению с данными на начало месяца. Для сравнения: трафик на Skype и Cisco AnyConnect возрос в 2 раза за аналогичный период, у популярного мессенджера с поддержкой видеоконференций Discord трафик вырос на 50%.
Популярность Zoom выросла по всему миру. На неделе с 15 по 21 марта он занял второе место по числу скачиваний, уступив только TikTok, оценивают в AppAnnie. По итогам первой недели апреля Zoom лидировал по загрузкам среди бизнес-приложений в России.
Какие уязвимости были и остаются у сервиса Zoom и какие есть альтернативы?
Передача данных Facebook
В конце марта стало известно, что данные пользователей iOS-версии приложения Zoom передаются в Facebook, даже если у пользователя нет аккаунта в соцсети. Zoom делится с Facebook информацией о модели телефона, часовом поясе, городе, операторе связи и уникальном рекламном идентификаторе устройства. Все это можно использовать для таргетирования рекламы.
После этого Zoom выпустил обновление и объявил об удалении кода, который передает информацию в Facebook. Впрочем, через два дня компания стала ответчиком по иску о нарушении конфиденциальности, который был подан в суд Калифорнии.
Слабое шифрование видео
Тогда же, в марте, издание Intercept сообщило, что Zoom не использует сквозное шифрование (end-to-end, E2E) для передачи видео и аудио, которое считается наиболее защищенным в интернете. Подобный способ кодировки используется в сервисе видеозвонков FaceTime от Apple.
На веб-сайте и в «белой книге» (информации для клиентов) Zoom указывалось, что такой тип шифрования применяется, но на практике Zoom использует TLS-шифрование. Оно отличается от сквозного шифрования тем, что кодирует данные не между пользователем и пользователем, а между сервером и пользователем, сама компания при этом имеет доступ к незашифрованному видео- и аудиоконтенту конференций. Благодаря этому Zoom имеет техническую возможность шпионить за пользователями и потенциально может передавать файлы в правоохранительные органы по запросу.
В ответ на публикацию Zoom пояснила, что под термином «сквозное шифрование» в своих маркетинговых материалах имела в виду другое. На самом деле с помощью сквозного шифрования в Zoom защищены только текстовые чаты. Zoom также заявила, что не имеет доступа к сессионным ключам и не может расшифровать сообщения, которыми обмениваются пользователи.
Неизвестные «дыры» в безопасности
В середине марта издание Vice рассказало о том, что злоумышленники продают данные о двух ранее неизвестных и неустраненных уязвимостях в Zoom, которые позволяют следить за звонками. Об этом изданию рассказали основатель компании Netragard Адриель Десотелс, который ранее продавал данные об уязвимостях, а также два человека, контактировавших с продавцами.
По словам Десотелса, один из эксплоитов (уязвимостей) предназначен для операционной системы macOS, другой — для Windows. Он сомневается в том, что их можно было бы долго использовать, т.к. когда уязвимости «нулевого дня» (то есть уязвимости, о которых разработчик не знал и против которых нет защиты) начинают эксплуатировать, то о них быстро становится известно и они закрываются. По словам одного из собеседников издания, уязвимость для Windows «идеальна для промышленного шпионажа», а продавец запросил за нее $500 000.
Позднее Zoom сообщала, что не нашла подтверждения этой информации.
Прослушка вызовов
В январе работающая в сфере кибербезопасности компания Check Point сообщила еще об одном дефекте Zoom, который позволял прослушивать вызовы, получать доступ ко всем аудио- и видеофайлам и документам пользователей, которыми они обменивались в чатах. Как правило, идентификационные номера конференций Zoom состоят из 9-11 знаков. Хакер мог предварительно создать длинный список идентификаторов, и затем, используя специальные программы, быстро проверить, действителен ли соответствующий идентификатор конференции Zoom или нет. Если идентификатор действительный, а конференция не была защищена паролем, злоумышленник мог получить к ней доступ. По оценке Check Point, подобрать правильный идентификатор звонка удавалось в 4% случаев.
Zoom уже устранил эту проблему: идентификатор заменили «криптографически более надежным», сделали обязательным использование пароля для подключения, а после нескольких попыток подключиться к сеансу устройство хакера будет «забанено» платформой.
Порнография в эфире
Повсеместное использование Zoom привлекло злоумышленников, которые подключаются к конференциям и начинают демонстрировать видеозаписи с насилием или порнографией. Явление получило название Zoombombing. Никакой цели, кроме как сорвать собрания, интернет-тролли не преследуют. Чтобы подключиться к конференции, они ищут ссылки на них, которые пользователи сами размещают в открытом доступе.
В частности, в саратовской школе №95 во время урока в старших классах, который проходил через Zoom, неизвестный пользователь включил порно. Родители школьников сообщали в соцсетях, что подобные инциденты были неоднократно. Городской комитет по образованию рекомендовал школам отказаться от использования Zoom. Кто размещал запрещенный контент, выясняют правоохранительные органы. Чтобы такого не случилось, достаточно не публиковать ссылку на конференцию в соцсетях, использовать пароль, а также отключить общий доступ к экрану собрания.
Незнакомцы как друзья
Zoom раскрывал личные данные тысяч пользователей, сообщило в апреле издание Motherboard. Речь идет об их email-адресах, именах, фотографиях и статусах профиля. Проблема связана с настройкой «Каталог компании» (Company Directory) Zoom, из-за которой люди с email-адресами в одном домене распознаются как сотрудники одной компании и автоматически добавляются друг к другу в контакты.
Настройка позволяет упростить поиск коллеги для вызова, когда домен действительно принадлежит отдельной компании. Но Zoom принимает за корпоративную почту и личные ящики пользователей, если только они не на широко известных доменах вроде gmail.com, yahoo.com, hotmail.com и некоторых других. В том числе сотрудниками одних компаний Zoom считает пользователей yandex.kz (домена Yandex для Казахстана), yandex.by (для Белоруссии), citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и starlink.ru (провайдер Starlink). Все эти люди получали возможность позвонить друг другу.
Хранение кодов в Китае
Используемые Zoom ключи шифрования иногда отправлялись на китайские серверы. Расположенная в Кремниевой долине Zoom владеет тремя китайскими «дочками», в которых работают минимум 700 разработчиков софта. Таким образом, Zoom теоретически может подвергнуться давлению со стороны китайских властей.
После обнародования этой информации, Zoom, начиная с 18 апреля, предоставила возможность владельцам платных аккаунтов выбрать регион, через который будут отправлять ключи шифрования.
Неполное удаление видео
Портал Сnet.com сообщил об уязвимости, которая позволяла искать сохраненные видеоролики в Zoom, используя ссылки общего доступа, содержащие часть URL-адреса, например название компании или организации. Видео можно потом загрузить и посмотреть. Кроме того, выяснилось, что удаленные видео оставались доступными на облаке в течение нескольких часов после удаления.
Zoom выпустил обновления, которое должно устранить недостаток.
Продажа аккаунтов
Более 500 000 учетных записей Zoom продаются в дарквебе и на хакерских форумах за копейки. Впрочем, здесь уже нет вины Zoom. Данные собираются из более старых утечек: злоумышленники пробуют войти в Zoom, используя утекшие логины и пароли от других сервисов. Все, что совпадает, собирается в списки и продается мошенникам. Некоторые учетные записи отдаются бесплатно на хакерских форумах, например, чтобы их использовали для Zoombombing.
Позднее, компания Group-IB заявила, что в даркнете появились объявления о продаже 4200 аккаунтов Zoom, из которых 31 принадлежит пользователя в домене .ru. Объявления появились на трех подпольных площадках сети.
Скачивание без согласия
Сотрудник занимающейся кибербезопасностью компании VMRay Феликс Сииле выяснил, что Zoom может устанавливается на macOS без согласия пользователя. Это напоминает поведение вредоносных программ, указал эксперт.
Связь через посредника
В некоторых моментах приложение Zoom жертвует безопасностью в угоду простоте использования, отмечает архитектор облачных решений компании Crayon Андрей Дубровин. В Zoom нет рабочих механизмов авторизации. В отличие от других систем, двухфакторная аутентификация доступна только в браузере, а подключить верификацию, например, по SMS просто нельзя, то есть вы можете назвать себя «гендиректором» и проверить эту информацию никак не получится, говорит он.
Но это не самая серьезная проблема системы, продолжает эксперт. «Как и другие сервисы видеоконференций, Zoom строится вокруг службы Active Directory, где хранятся данные обо всех учетных записях пользователя. Подключаясь к звонку по ссылке, вы передаете верификационные данные так называемому Man in the Middle — провайдеру или оператору связи. Защита информации во время такой передачи в Zoom слабо проработана, и если в сети «посредника» есть зараженный участок, данные могут быть перехвачены мошенниками», — предупреждает Дубровин.
Что говорят в Zoom? Исходно сервис видеоконференций был ориентирован, в первую очередь, на корпоративных клиентов: крупные учреждения с полноценной ИТ-поддержкой, объяснял в открытом письме пользователям основатель и CEO Zoom Эрик Юань. Среди них — крупнейшие в мире финансовые, телекоммуникационные, государственные организации и т.д.
Zoom не был готов к тому, что всего за несколько недель почти каждый человек в мире станет вынужден работать, учиться, общаться из дома, признает глава компании. Если в конце декабря 2019 года Zoom использовали 10 млн человек, то уже в марте 2020 года — более 200 млн.
Zoom обещает уделять больше внимания кибербезопасности. Компания уже наняла в помощь компанию Luta Security, глава которой Кэти Муссурис наиболее известна сотрудничеством с Microsoft, Symantec и Пентагоном. Кроме того, Zoom готова платить всем желающим за найденные уязвимости. Компания запустила программу big bounty, в рамках которой будет выплачивать вознаграждения киберспециалистам, которые найдут бреши в безопасности и уведомят об этом Zoom.
Какие есть альтернативы?
У Zoom немало конкурентов: TrueConf, Skype, VideoMost, Cisco WebEx, Google Hangouts и другие. Вокруг всех облачных сервисов разгорелся настоящий ажиотаж, но Zoom стала наиболее популярной благодаря простоте установки, регистрации и поддержки, а также возможности использования на всех устройствах, и все это бесплатно, говорит руководитель группы поддержки продаж сетевых решений «Инфосистемы Джет» Дмитрий Каросанидзе.
О планах создать российский аналог Zoom в минувшую субботу заявил министр просвещения России Сергей Кравцов в эфире телеканала «Россия-24». По его словам, Министерство просвещения и Минкомсвязь разрабатывают отечественный продукт «Цифровая образовательная среда», где будут использованы «только отечественные разработки, только отечественное программное обеспечение, в том числе и видеоплатформа, аналогичная Zoom и Skype», сообщило ТАСС. Зарубежные системы Кравцов назвал «неустойчивыми». По его словам, власти планируют представить отечественный проект к началу следующего учебного года.