Для сдерживания масштабов пандемии огромное количество людей во всем мире начали работать удаленно из своих домов. Это привело к резкому росту популярности различных сервисов для проведения видеоконференций, а особенно сервиса Zoom, который до начала карантина имел значительно меньшее количество пользователей.

Резкий рост спроса на Zoom помог выявить проблемы конфиденциальности и безопасности сервиса. В течение последних дней количество критики насчет проблем безопасности Zoom от экспертов в области кибербезопасности стремительно росло. Стоит отметить, что генеральный директор компании извинился за проблемы и очертил меры по улучшению безопасности и конфиденциальности Zoom. Он также объявил 90-дневное замораживание функций, в течение которых компания сосредоточит все технические ресурсы на вопросах безопасности и конфиденциальности.

Проблемы безопасности, которые были обнаружены в Zoom в последнее время:

• В политике конфиденциальности компания не указала, что версия приложения для iOS направляет аналитические данные в Facebook, даже если пользователи не имеют аккаунта в социальной сети. Разработчики Zoom признали проблему и изъяли набор из средств разработки для Facebook (SDK) для iOS.
• Согласно данным исследования The Intercept, сервис не осуществляет сквозное шифрование видео и аудиоконференций, несмотря на то, что в Zoom долгое время утверждали обратное. Однако позже представители компании извинились и уточнили, что сервис использует транспортное шифрование (TLS).
• Также было установлено, что приложение содержит несколько уязвимостей безопасности, которые компания быстро исправила и выпустила обновления. В частности, в версии приложения для Windows была уязвимость введения маршрута UNC, которая могла привести к утечке учетных данных пользователей и даже к выполнению произвольных команд на их устройствах. Две другие ошибки касались клиента для MacOS и давали злоумышленникам возможность несанкционированного доступа к компьютерам пользователей.
• Компании также пришлось отказаться от функции «отслеживания посетителей», которая давала возможность владельцу конференции проверить, действительно ли участники внимательно смотрели трансляцию, когда он использовал режим обмена экраном.
• Кроме этого, известны случаи, когда тролли и шутники получали доступ к частным встречам и школьным онлайн-урокам.

От таких утечек данных и проблем конфиденциальности могло пострадать огромное количество людей, поскольку за последние три месяца количество ежедневных пользователей сервиса выросла с 10 до 200 млн. человек. Однако, очевидно, компания была не готова к такому непредсказуемому успеху.

Как сделать видеоконференции безопаснее:

• Использовать функцию защиты видеоконференций паролем. Для дополнительной защиты можно оставлять участников в «режиме ожидания» и персонально подтверждать или отклонять запросы на подключение к конференции;
• Применять ограничения доступа к экрану;
• Использовать актуальную версию приложения и регулярно устанавливать обновления, которые могут содержать важные исправления уязвимостей безопасности;
• Воздерживаться от распространения ссылок или ID конференций в социальных сетях;
• Использовать ID для присоединения к конференции. Поскольку с ростом популярности Zoom, увеличилось и количество злоумышленников, которые под видом ссылок на конференции распространяют фишинговые ссылки.

Источник: ko.com.ua