Утечка данных и хакерские атаки. Что не так с Zoom и как защититься

19.04.2024 Пандемия коронавируса COVID-19 и мировой карантин добавили популярности программе для видеоконференций Zoom. Но она оказалась уязвимой для хакеров и не может гарантировать достаточный уровень безопасности и конфиденциальности. Есть ли альтернативы Zoom и как уменьшить риски пользования этой программой?

Zoom Us

Из-за пандемии коронавируса COVID-19 весь мир вынужден временно ограничить социальные контакты. Итак, рабочие встречи, школьное обучение, лекции и тренинги, а также дружеские посиделки приходится переводить в режим онлайн. Сейчас самым популярным приложением для этого есть Zoom - им пользуются в разных концах света.

Разработчик программы - американская компания Zoom Video Communications, Inc., основанная в 2011 году бизнесмен китайского происхождения Эрик Юань, бывший вице-президент Cisco Systems.

Перед началом работы вам необходимо скачать эту программу на свой компьютер или смартфон. Если хотите организовать конференцию, должны создать ссылку на ее и разослать всем, кого хотите пригласить к разговору.

Zoom популярный из-за удобства приложения, хорошего качество связи и имеет широкий набор опций. Программа не глючит не подвисает, даже когда к ней одновременно подключается несколько десятков пользователей (а то и целый класс 30 человек).

Кроме видео, программа имеет чат, где можно оставлять текстовые сообщения прямо во время разговора. Здесь можно говорить как с видео, так и без, организатор имеет право отключить звук всем участникам конференции или нескольким из них по своему усмотрению, часто делают, чтобы фоновые звуки не мешали спикеру. Также это приложение позволяет записывать конференцию, здесь и функция демонстрации экрана. Причем, не всего, а только конкретного окна, которое вам нужно показать другим участникам беседы.

Кроме того, приложение можно использовать и для записи видеофайлов. Скажем, вам необходимо записать лекцию или видеообращение. Для этого можно открыть Zoom, создать новую конференцию, включить запись трансляции и наговорить все, что нужно. При этом, приглашая других участников к разговору.

Обычно, бесплатная версия Zoom имеет ограничения для использования - максимум 40 минут, после которых эфир завершится автоматически.
Платная версия позволяет использовать время безлимитно. Однако в условиях карантина Zoom бесплатно дарит пользователям время - автоматически удлиняет ваш эфир после 40 минут.

Что не так с этой сверхпопулярной программы Зум?

П000рно посреди рабочего совещания. 27 марта издание The Guardian опубликовало материал, в котором говорится о хакерских атаках на программу Zoom. Эту тему подхватили и другие издания, например, The New York Times, также Daily Mail, New York Post, The Washington Post и тому подобное.
О сорванных школьных уроках в США, например, писали такие американские СМИ, как Boston Globe и Los-Angeles Times. Об опасностях, связанных с использованием Zoom, на своем сайте предупреждают даже Федеральное бюро расследований, Департамент внутренней безопасности США и Канадский центр кибербезопасности.

Так, участились случаи, когда хакеры «врываются» в чужие разговоры и прерывают их. Пишут в чат непристойные, агрессивные сообщения или демонстрируют вместо презентации на экране п000рнографию, сцены насилия, изображения половых органов и тому подобное. Для этого используют функцию демонстрации экрана: хакер, взломавший чужой чат, включая п000рно на своем устройстве и включает кнопку «Показать экран всем подключенным к конференции пользователям.

Кроме этого, хакеры практикуют также и рассылки через чат ссылок, которые могут причинить вред вашему компьютеру. Для таких атак даже придумали термин - Zoom bombing.

Вторая опасность, которой подвергаются пользователи Zoom - утечка персональных данных и нарушения условий конфиденциальности

Оказалось, что тысячи частных видеозвонков записывались: их «слили» на платформы YouYube и Vimeo. Люди, которые консультируются со своими врачами онлайн, школьники, выполняют домашние задания дистанционно, друзья, обсуждают последние новости, коллеги, делятся за время карантина, - все это появилось в открытом доступе.
Конечно, без согласия самих пользователей на это. Лица всех участников конференций хорошо видны, некоторые из них во время видео озвучивают личную информацию: имена и фамилии, номера телефонов или адреса.

Третья опасность - слив приложением Zoom персональных данных в компании Facebook. Причем, даже тех людей, которые не зарегистрированы в этой соцсети.

Некоторые крупные компании, например, SpaceX Илона Маска и Google отказались от использования программы Zoom-за ее сомнительной репутации. В школах Нью-Йорка тоже запретили использовать Zoom. Вслед за ними на этот шаг пошли правительственные структуры Тайваня, Германии. Для Тайваня аргументом, в частности, стала переадресация трафика пользователей Zoom через дата-центры в Китае, с которым у Тайваня длительный конфликт (Тайвань - частично признанное государство, которое Китай считает своей территорией с особым статусом).

Основатель и гендиректор Zoom Эрик Юань извинился за ошибки компании, признав, что они не оправдали ожиданий конфиденциальности и безопасности. Чтобы улучшить безопасность и приватность, компания, в частности, привлекла внештатного консультанта - бывшего безопасности офицера Facebook Алекса Стамос.

Интересно, что Zoom не первый раз обвиняют в некорректной работе их обеспечения. Так, о сбоях в работе приложения СМИ писали еще летом прошлого 2019 года. Тогда речь шла об уязвимостях вебкамеры на компьютерах МасOS: на них приложение Zoom тайно устанавливал вебсервер, который умел автоматически подключать пользователя к видеозвонков по команде с любой вебстраницы.

Этот сервер оставался на компьютерах и после удаления Zoom и даже мог снова установить приложение. Обращали внимание и на то, что приложение не имеет функции автоматического обновления. То есть даже если компания исправила неисправности и выпустила новую версию программы, все равно оставались пользователи, которые продолжали использовать старую, проблемную версию. Тогда Zoom заверила, что выпустила обновление, которые устранили уязвимости.

Какие могут быть альтернативы Zoom US

Программ с таким же функционалом, как Zoom, при этом зашифрованных сквозным шифрованием групповых разговоров пока просто нет, говорит эксперт по цифровой безопасности Николай Костинян.

«Для зашифрованных групповых разговоров обычно используют обычный WhatsApp, иногда - менее известный Wire», - говорит он.

Журналистка Forbes, например, в этом материале в качестве альтернативы советует пользоваться приложениями Signal или Jitsi.

Функции видеозвонков поддерживают в том числе и такие приложения, как Viber, Facebook, Telegram. Они подойдут для общения с друзьями или родственниками. Видеоконференции можно устраивать, например, в мессенджере Facebook - для этого нужно позвонить в групповой чат, или в приложении Google Hangouts.

«Если же вам нужны альтернативы для секретных разговоров, скорее всего, вы их и так знаете, потому что пользовались ими ранее. Но там никогда не будет такого функционала, как в Zoom. С другой стороны, я не представляю себе суперсекретной разговоры на большое количество участников, и чтобы нужно было скриншеринг и все дополнительные опции », - добавляет г-н Костинян.

Относительно того, безопасный Zoom в целом, он соглашается с мнением известного эксперта по безопасности по прозвищу Grugq. Мысль эта сводится к следующему: Zoom не предназначен для разговоров о национальной безопасности, разговоров с секретными источниками, обличителями информации и тому подобное.

«Но для вебинаров, рабочих совещаний, а не супертайный разговоров он - вполне ок, пользуйтесь. Сам я пользуюсь Zoom для рабочих совещаний, вебинаров и онлайн-разговоров без проблем », - комментирует эксперт.

Как уберечься в Zoom

Из-за громкого скандала Zoom пришлось выпустить очередные обновления, в которые добавили защитных функций, которые должны дополнительно обезопасить пользователей от взлома. Об этом говорится и в официальной фейсбук-странице приложения.

К примеру, модератор конференции имеет возможность подтвердить или запретить добавление к разговору нового пользователя. Функция «Зал ожидания» помогает организатору контролировать, кто приходит и уходит. То есть, если вы видите незнакомый или подозрительный никнейм человека, который пытается присоединиться к вашей конференции, вы можете запретить ему это.

Кроме того, можно выключить микрофоны для всех участников на входе в конференцию - это позволит избежать неожиданных «звуковых» сюрпризов. Ведь один из видов хакерских атак, которые были популярны, в частности, в самом начале карантина - это громкое включения музыки во время вашей презентации. Можно и вообще закрыть встречу так, чтобы новые участники не могли к ней присоединиться в процессе.

Еще одна опция, которая дополнительно защищает от хакерских вмешательств - запрет для других участников показывать экран во время конференции. Ее также может включить модератор.

Стоит не забывать и об общих правилах кибербезопасности: использовать надежный пароль; не выкладывать ссылки на конференцию в открытом доступе в соцсетях; немедленно сообщать обо всех атаки в службу поддержки. И помнить, что через интернет не стоит вести конфиденциальные разговоры.

Подробные инструкции, как защититься во время разговора, можно найти в блоге самого Zoom. автор (author): ARTROSTRA