Мнозина потребители установиха някои уязвимости в Zoom по „трудния” начин
(снимка: CC0 Public Domain)
В края на 2019 година тя имаше 10 милиона потребители. Днес обаче са 200 милиона. Във времето на този рязък скок тя стана обект на множество обвинения в лоша киберсигурност. Това е компанията Zoom – навярно най-спорното име в света на информационните технологии във време на пандемията „коронавирус”.
Standard Chartered е най-новата голяма банкова организация, която забрани на служителите си да използват видеоконферентни технологии от Zoom Video Communications Inc. за дистанционна работа в условията на пандемия. По-рано и други емблематични организации публично се отрекоха от Zoom. Сред тях са SpaceX на Илон Мъск и училищната система на Ню Йорк, правителствата в Тайван, Австралия и Германия. Причината за всички е една – киберсигурността.
Тези решения бяха взети, след като мнозина потребители установиха някои уязвимости в Zoom и то по „трудния” начин. Имаше случаи на нахлуване на неканени гости с неприлични видео-кадри, вмъкване на нередни изображения в презентации или порои от обиди от неканени непознати. Тези инциденти шокираха мнозина потребители, избрали платформата за поддържане на контакт по време на социалната си изолация – като се започне от бизнесмени и се стигне до студенти и семейства.
Растеж, слава, недоволство
Ситуацията е парадоксална за Zoom: компанията се радва на невиждан растеж, какъвто никога не е очаквала, и в същото време страда от порой от критики.
Още през юли 2019 г. изследовател разкри сериозен проблем със сигурността в Zoom, при който платформата отваря уеб камерите за продължително шпиониране. Оказа се, че този проблем съществува дори ако софтуерът бъде деинсталиран – поради оставащ на потребителския компютър локален уеб сървър.
По-късно бяха разкрити повече проблеми, включително пропуски в сигурността във версията за Windows 10, изпращане на данни за iPhone устройствата на потребителите до Facebook, независимо дали са имали акаунт в мрежата на социалната медия, както и грешка в генерирането на URL адресите, позволяваща нападатели да подслушват частни конференции.
Не на последно място, разбра се, че макар да се рекламира като криптирана с AES-256, връзката през Zoom всъщност използва AES-128 ключ.
Ремонти в движение
С подобно „досие” Zoom се залови бързо да коригира проблемите със сигурността, които накърняват растящата й популярност в последните седмици. За да сложи край на неочакваните нападения в Zoom видеоконференции, платформата направи така, че ID номерата на срещите вече да не се виждат в адресната лента.
Беше създаден специален екип по киберсигурността, който да се занимае с това да опрости и облекчи процеса по промяна на настройките на сигурността за хостовете и участниците в срещите.
Наскоро компанията привлече бившия шеф по сигурността от Facebook – Алекс Стамос като съветник по защитата и сигурността, с цел справяне с проблемите и прекратяване на глобалното недоволство срещу установените уязвимости.
Заговори се и за предстояща промяна в това къде се съхраняват данните. От 18 април платените абонати ще могат да избират или да отказват конкретни центрове за данни.
Съвети за потребителите
Защитаване с пароли на провежданите срещи – това е лесен начин да предотвратите появата на нежелани участници и „отвличанията”. Паролите могат да бъдат зададени на ниво индивидуална среща, потребител, група или акаунт за всички сесии.
Удостоверяване на потребителите – когато създавате ново събитие, трябва да изберете да разрешите да участват само регистрирани потребители.
Присъединяване преди домакина – домакините на срещи не бива да позволяват това. Функцията се управлява от менюто „Настройки на акаунта”.
Заключване на срещите – след започване на сесия домакинът може да посети раздела „Управление на участниците” и оттам да избере да „заключи” срещата си веднага след като всеки очакван участник е влязъл. Това ще попречи на нежелани гости да се присъединят, дори ако идентификационните номера за срещата или данните за достъп са „изтекли”.
Използване на „чакалня” – функцията на чакалнята е начин за „пресяване” на участниците, преди да им бъде разрешено да влязат в срещата. Без съмнение полезна за различни цели, включително интервюта или виртуални офиси, функцията дава на домакините и по-голям контрол върху сигурността на сесиите.
Избягване на споделянето на файлове – по-добре е да се използват други услуги за споделяне като Box или Google Drive.
Следене за актуализации – обичайно новите версии идват с поправки, които решават съществуващите проблеми със сигурността в предишните версии.