Все «дыры» Zoom: чем рискуют пользователи самого популярного сервиса видеоконференций эпохи карантина
Американский онлайн-сервис видеоконференций Zoom за последний год подорожал более чем вдвое. Однако в адрес компании поступает все больше критики из-за проблем с безопасностью. Какие претензии были и остаются у пользователей сервиса, популярность которого в России растет сильнее всех?
Сервис интернет-видеоконференций Zoom за последний год нарастил свою капитализацию на NASDAQ на 127% — до $41,6 млрд. Инвесторам понравился проект, ставший популярным из-за массового перехода на удаленную работу во время пандемии коронавируса.
Но у пользователей возникли претензии к безопасности Zoom: люди жаловались на передачу их данных в Facebook (соцсеть признана в РФ экстремистской и запрещена), на утечки видеозаписей и личной контактной информации. Zoom стал ответчиком по иску о нарушении приватности пользователей в США. Из-за проблем с безопасностью от использования Zoom только за последние недели отказались SpaceX, Apple, Google, NASA, Пентагон и Сенат США. В России крупные компании пока не делали таких заявлений, хотя против использования сервиса в школах выступили власти Саратова.
Почему это важно? В России Zoom стал наиболее быстрорастущим сервисом видеоконференций, выяснил оператор Yota. Объем трафика Zoom вырос более чем в 8 раз за последние две недели марта по сравнению с данными на начало месяца. Для сравнения: трафик на Skype и Cisco AnyConnect возрос в 2 раза за аналогичный период, у популярного мессенджера с поддержкой видеоконференций Discord трафик вырос на 50%.
Популярность Zoom выросла по всему миру. На неделе с 15 по 21 марта он занял второе место по числу скачиваний, уступив только TikTok, оценивают в AppAnnie. По итогам первой недели апреля Zoom лидировал по загрузкам бизнес-приложений в России.
Какие уязвимости были и остаются у сервиса Zoom и какие есть альтернативы?
Передача данных Facebook (соцсеть признана в РФ экстремистской и запрещена)
В конце марта стало известно, что данные пользователей iOS-версии приложения Zoom передаются в Facebook (соцсеть признана в РФ экстремистской и запрещена), даже если у пользователя нет аккаунта в соцсети. Zoom делится с Facebook (соцсеть признана в РФ экстремистской и запрещена) информацией о модели телефона, часовом поясе, городе, операторе связи и уникальном рекламном идентификаторе устройства. Все это можно использовать для таргетирования рекламы.
После этого Zoom выпустил обновление и объявил об удалении кода, который передает информацию в Facebook (соцсеть признана в РФ экстремистской и запрещена). Впрочем, через два дня компания стала ответчиком по иску о нарушении конфиденциальности, который был подан в суд Калифорнии.
Слабое шифрование видео
Тогда же, в марте, издание Intercept сообщило, что Zoom не использует сквозное шифрование (end-to-end, E2E) для передачи видео и аудио, которое считается наиболее защищенным в интернете. Подобный способ кодировки используется в сервисе видеозвонков FaceTime от Apple.
На веб-сайте и в «белой книге» (информации для клиентов) Zoom указывалось, что такой тип шифрования применяется, но на практике Zoom использует TLS-шифрование. Оно отличается от сквозного шифрование тем, что кодирует данные не между пользователем и пользователем, а между сервером и пользователем, сама компания при этом имеет доступ к незашифрованному видео- и аудиоконтенту конференций. Благодаря этому Zoom имеет техническую возможность шпионить за пользователями и потенциально может передавать файлы в правоохранительные органы по запросу.
В ответ на публикацию Zoom пояснила, что под термином «сквозное шифрование» в своих маркетинговых материалах имел ввиду другое. На самом деле с помощью сквозного шифрование в Zoom защищены только текстовые чаты. Zoom также заявила, что не имеет доступа к сессионным ключам и не может расшифровать сообщения, которыми обмениваются пользователи.
Неизвестные «дыры» в безопасности
В середине марта издание Vice рассказало о том, что злоумышленники продают данные о двух ранее неизвестных и неустраненных уязвимостях в Zoom, которые позволяют следить за звонками. Об этом изданию рассказали основатель компании Netragard Адриель Десотелс, который ранее продавал данные об уязвимостях, а также два человека, контактировавших с продавцами.