Калаж Еўрарадыё
Сэрвіс для відэасувязі Zoom стаў вельмі папулярным ва ўмовах каранціну і самаізаляцыі. За апошнія месяцы колькасць яго карыстальнікаў вырасла з 10 млн да 200 млн. Ім карыстаюцца нават сябры брытанскага ўрада!
Тым не менш эксперты па кібербяспецы і ФБР папярэджваюць: Zoom не такі ідэальны, як хацелася б. Ён уразлівы для хакераў, а яго карыстальнікі рызыкуюць сваімі асабістымі звесткамі.
Сумневы наконт бяспекі звестак у Zoom узнікалі ўжо не раз, піша выданне The Verge. Напрыклад, летась у сэрвісе знайшлі ўразлівасць, якая дазваляе атрымліваць доступ да вэб-камер карыстальнікаў. Apple была вымушаная выдаліць праграмнае забеспячэнне Zoom з Mac.
Яшчэ адна прэтэнзія да Zoom датычыцца выпадкова згенераванага кода відэаканферэнцый даўжынёй ад 9 да 11 лічбаў. Па гэтым нумары ўдзельнікі могуць падключыцца да размовы. Даследчыкі прыйшлі да высновы, што зламыснікі лёгка могуць падабраць гэтыя лічбы і далучыцца да любой відэаканферэнцыі. Напрыклад, ужо з'явіўся так званы Zoombombing, калі невядомыя транслююць свой кантэнт (порна, жорсткія відэа) у чужых гутарках.
Праблема — у прастаце сэрвісу. Ён не патрабуе ўстанаўлення пароля для канферэнцый і дазваляе любому ўдзельніку "дзяліцца" сваім экранам. Для адукацыйных уліковых запісаў распрацоўшчыкі Zoom змянілі гэтыя налады на мінулым тыдні. Усім астатнім трэба наладжваць гэтыя параметры самастойна.
Яшчэ адзін недахоп выявіўся днямі: аказалася, што Zoom не выкарыстоўвае канцавое шыфраванне E2E. Яно лічыцца "залатым стандартам" для падобных праграм. Zoom выкарыстоўвае пратакол абароны TLS, які ўжываецца браўзерамі для бяспекі HTTPS-старонак. Гэта азначае, што перадаваныя карыстальнікам звесткі захоўваюцца ў зашыфраваным выглядзе ў яго на прыладзе, а таксама на серверах кампаніі. Пры шэрагу ўмоў інфармацыя можа стаць здабыткам як зламыснікаў, так і праваахоўных органаў.
Што да канцавога шыфравання E2E, то доступ да звестак, абароненых па гэтым стандарце, закрыты нават для ўладальніка сервераў. Яны захоўваюцца выключна на смартфонах удзельнікаў гутаркі. Але прадстаўнік Zoom заявіў, што пакуль уключыць такое шыфраванне сэрвіс не можа.
Партал Bleeping Computer піша, што ўнутры Zoom выяўлена ўразлівасць, якая дазваляе зламысніку выкрасці звесткі для ўваходу ў Windows. Уключаючы карыстальніцкі пароль. Гэтая інфармацыя знаходзіцца ў зашыфраваным выглядзе. Аднак у інтэрнэце ёсць дзясяткі бясплатных сэрвісаў, якія дазваляюць зняць хэшаванне і атрымаць звесткі.
Zoom ужо цяпер сутыкаецца з судовымі працэсамі: яго абвінавачваюць у незаконнай перадачы асабістай інфармацыі трэцім асобам. Пры ўсім пры гэтым колькасць карыстальнікаў праграмы вырасла за час пандэміі каранавіруса ў 20 разоў, а кошт акцый кампаніі — у чатыры разы. Праграма, несумненна, перажывае момант славы, піша The Verge:
"Zoom не патрабуе стварэння ўліковага запісу і бясплатны для 40-хвілінных канферэнцый. Сэрвіс апынуўся ў цэнтры ўвагі, як найважнейшы інструмент працы для многіх. Але гэтая папулярнасць паставіла распрацоўшчыкаў перад шэрагам цяжкіх рашэнняў".
Цяпер распрацоўшчыкі імкнуцца мінімізаваць рызыкі ўцечкі звестак, захаваўшы прастату выкарыстання сэрвісу.
Каб сачыць за галоўнымі навінамі, падпішыцеся на канал Еўрарадыё ў Telegram.
Мы штодня публікуем відэа пра жыццё ў Беларусі на Youtube-канале. Падпісацца можна тут.