Confidențialitatea și problemele de securitate ale aplicației Zoom


Pentru că un număr foarte mare de persoane lucrează de acasă din cauza pandemiei COVID-19, popularitatea aplicațiilor software de videoconferință (folosite pentru serviciu, educație și timp liber) este din ce în ce mai mare. Dintre toate aceste instrumente de comunicare, care au cunoscut o popularitate nesperată peste noapte, probabil niciunul nu iese în evidență la fel de mult ca Zoom.

Cererea explozivă, atât în rândul utilizatorilor casnici cât și în rândul companiilor, a contribuit la dezvăluirea unor provocări de confidențialitate și de securitate cu care se confruntă platforma, care este folosită acum chiar și pentru întâlnirile zilnice ale guvernului britanic (deși, în mod interesant, Ministerul Apărării din Marea Britanie le interzice angajaților săi să folosească aplicația).

Aplicația se confruntă cu un val de critici, din diferite surse, inclusiv din partea avocaților în domeniul confidențialității, a experților în securitate, a mai multor avocați generali ai Statelor Unite, a unui parlamentar american și a agenției FBI. Veștile rele s-au acumulat în ultimele zile, fapt ce a determinat compania formuleze recent un raspuns.

Miercuri 1 aprilie, fondatorul și CEO-ul companiei, Eric S. Yuan, și-a cerut scuze pentru problemele raportate și a prezentat măsurile luate pentru îmbunătățirea securității și a confidențialității Zoom. El a anunțat, de asemenea, o înghețare timp de 90 de zile a oricăror eforturi derulate în direcția îmbunătățirilor funcțiilor din produs, adăugând că Zoom își mută toate resursele de inginerie pentru a „se concentra pe cele mai acute probleme de încredere, siguranță și confidențialitate”.

Mai jos vă prezentăm o serie de cinci dintre problemele cheie pe care Zoom va trebuit să le rezolve:

  • Politica de confidențialitate a Zoom nu a menționat că versiunea iOS a aplicației sale trimite date analitice către Facebook chiar și atunci când utilizatorii nu au un cont Facebook, potrivit unui raport Vice publicat în prima săptămână din aprilie. Compania a recunoscut problema și a eliminat kitul de dezvoltare software Facebook (SDK) pentru iOS. Zoom se confruntă în continuare cu un proces legal class-action în California.
  • În ciuda luării de poziție inițiale a companiei, întâlnirile video și audio ale aplicației nu acceptă criptare end-to-end, potrivit cercetărilor realizate de The Intercept. Zoom și-a cerut ulterior scuze și a clarificat că folosește criptarea de tip transport cunoscută sub numele de TLS. Diferența majoră între criptarea end-to-end și cea de tip TLS este că aceasta din urmă nu criptează comunicările utilizatorilor și pot fi accesate în continuare de către companie.
  • Aplicația a dovedit, de asemenea, că are mai multe vulnerabilități de securitate, deși toate au fost remediate în timp scurt. Clientul  pentru sistemul de operare Windows a fost considerat vulnerabil față de un atac  UNC path injection, care ar putea expune datele de autentificare ale utilizatorilor Windows și poate duce chiar la executarea unor comenzi abuzive pe dispozitivele lor. Alte două vulnerabilități, de data aceasta afectând clientul aplicației pentru sistemul MacOS,  ar fi putut permite unui atacator să preia local controlul asupra unui computer vulnerabil.
  •  Compania a renunțat, de asemenea, la opțiunea „urmărirea participanților”, o caracteristică ce oferea posibilitatea gazdei unei întâlniri să verifice dacă participanții erau de fapt atenți atunci când gazda era în modul de partajare al ecranului.
  • FBI a lansat de asemenea un avertisment privind un fenomen numit „Zoom-bombing”, în urma mai multor rapoarte conform cărora persoane răuvoitoare invadau întâlnirile private și cursurile școlare pentru a afișa imagini neadecvate.

Aceste aspecte au potențialul să afecteze un număr mare de oameni, pentru că platforma a înregistrat o creștere de la 10 milioane la 200 de milioane de utilizatori zilnici, în ultimele trei luni. Chiar prin propria declarația, CEO-ului companiei Eric S. Yuan, recunoștea că a fost copleșit de acest succes care nu a fost anticipat.

„Avem acum un număr mult mai mare de utilizatori care folosește produsul nostru într-o multitudine de moduri neașteptate, creându-ne astfel provocări pe care nu le-am anticipat atunci când a fost concepută platforma”, a declarat acesta.

Cum să fiți în siguranță

Chiar și în această perioadă dominată de activități derulate de la distanță (și nu numai când vine vorba de videoconferințe), nu ar trebui să trecem cu vederea aspectul confidențialității și al securității datelor. Oricât de bine arată din punct de vedere estetic și indiferent câte  funcții oferă,  un program software care partajeaza informații via internet deschide posibile oportunități pentru noi amenințări și, odată cu acestea, responsabilități suplimentare. Printre cele mai eficiente măsuri pe care le puteți lua pentru a vă proteja securitatea și confidențialitatea atunci când utilizați Zoom se numără:

  • Folosirea parolelor și / sau verificarea participanților la întâlnire cu ajutorul funcției „Waiting Room” pe care Zoom o pune le dispoziție.
  • Limitarea partajării ecranului cu gazda.
  • Folosirea celei mai recente versiuni a aplicației Zoom.
  • Abținerea de la partajarea linkurilor sau a ID-urilor de întâlnire pe rețelele de socializare.
  • Luarea în considerare a utilizării ID-urilor de întâlnire, mai degrabă decât a link-urilor atunci când invitați alți participanți, pentru că a fost identificată o creștere a domeniilor false care imită platforma Zoom, prin care infractorii cibernetici încearcă să valorifice succesul neașteptat al aplicației.

Pentru a vă menține în siguranță atunci când utilizați aplicații de videoconferință, asigurați-vă că citiți articolul nostru detaliat pe această temă:

Lucrăm de acasă: cum participăm fără riscuri de securitate la video conferințe

Tomas Foltyn April 7, 2020

Lasa un comentariu