| 2 апр 2020 — 5:55 PT
Zoom проводит тесты на проникновение после ряда проблем с безопасностью и конфиденциальностью, обнаруженных в мобильных и десктопных приложениях компании.
Проблемы Zoom представляли собой беспорядочную смесь плохой коммуникации, сомнительного маркетинга, нарушений правил и реальных уязвимостей безопасности…
Предыстория
Мы недавно перечислили большинство проблем.
Zoom принял сознательное решение ставить удобство использования выше безопасности, и сделал это, зная, что такой подход подходит большинству пользователей. Он также предоставил более высокий уровень безопасности тем, кто в нем нуждался.
Например, одна из претензий заключается в том, что по умолчанию все встречи, организованные одним и тем же ведущим, имеют один и тот же идентификатор встречи и, следовательно, одну и ту же ссылку для подключения. Это означает, что любой, кто когда-либо участвовал в ваших встречах, может попробовать использовать ссылку в другой раз и подключиться к любой текущей встрече. Это правда, но у ведущих есть возможность создать идентификатор (и, следовательно, ссылку) для каждой встречи, если они того пожелают.
Еще одна претензия заключается в том, что у встреч нет пароля. Это опять же верно по умолчанию, но существует возможность его установить.
Таким образом, по умолчанию Zoom делает очень удобным проведение встреч, но с некоторыми уязвимостями безопасности. На практике, это не *огромные* уязвимости для обычных виртуальных встреч с семьей или друзьями, поскольку нет большого стимула для злоумышленника пытаться подключиться, а небольшое количество участников означает, что незнакомое имя будет замечено. Тем не менее, компания должна предупреждать об этом новых пользователей и выделять более безопасные опции.
Третья претензия заключается в том, что звонки Zoom не используют сквозное шифрование. Это не редкость: большинство приложений для видеоконференций этого не делают, поскольку это чрезвычайно трудно реализовать без ущерба для удобства использования. Плохо то, что маркетинговые материалы Zoom лгут об этом. Компания утверждает, что предлагает сквозное шифрование, когда это не так.
Есть и другие, неоспоримо плохие моменты.
Zoom, например, использовал крайне сомнительный метод для упрощения браузерных сессий. В результате веб-сайт мог потенциально активировать веб-камеру вашего Mac, даже если вы удалили приложение Zoom. Это было исправлено, но Zoom не должен был изначально использовать такой подход.
Zoom также использовал Facebook API, который отправлял данные в сервис. Многие приложения используют аналитику Facebook, но Zoom нарушал правила, не указывая это в своей политике конфиденциальности. Это также было исправлено.
Едва мы это сделали, как была обнаружена еще одна уязвимость.
Тесты на проникновение Zoom
Генеральный директор компании отреагировал постом в блоге, изложив шаги, которые компания уже предприняла и планирует предпринять.
Список предпринятых действий включает пост в блоге о том, как усилить безопасность; удаление SDK Facebook из приложения для iOS; руководство по безопасности для образовательных пользователей; обеспечение того, чтобы только учителя могли делиться экраном; и исправление вводящих в заблуждение заявлений об использовании сквозного шифрования.
Затем компания изложила свои планы на следующие 90 дней.
- Немедленное введение заморозки функций и перенаправление всех наших инженерных ресурсов на решение наших самых серьезных проблем с доверием, безопасностью и конфиденциальностью.
- Проведение комплексного обзора с привлечением сторонних экспертов и представителей пользователей для понимания и обеспечения безопасности всех наших новых потребительских сценариев использования.
- Подготовка отчета о прозрачности, детализирующего информацию, касающуюся запросов данных, записей или контента.
- Усиление нашей текущей программы поощрения за обнаружение ошибок.
- Запуск совета директоров по информационной безопасности в партнерстве с ведущими директорами по информационной безопасности из всей отрасли для содействия постоянному диалогу относительно лучших практик в области безопасности и конфиденциальности.
- Проведение серии одновременных тестов на проникновение с открытым исходным кодом для дальнейшего выявления и устранения проблем.
- Со следующей недели я буду проводить еженедельный вебинар по средам в 10:00 по тихоокеанскому времени, чтобы предоставлять обновления по конфиденциальности и безопасности нашему сообществу.
«White box» тест на проникновение означает, что исследователям безопасности будет предоставлена полная информация об ИТ-инфраструктуре компании и исходном коде приложений, чтобы максимально повысить вероятность выявления уязвимостей.
Если ничего из этого вас не успокоит, ознакомьтесь с нашими десятью предложенными альтернативами Zoom.