Ранее на этой неделе приложение для видеоконференций Zoom уже оказалось в центре скандала, так как передавало данные своих пользователей Facebook. Тогда разработчики сообщили, что произошла ошибка, они не знали о подобных функциях Facebook SDK и спешно отказались от его использования (что, впрочем, не уберегло компанию как минимум от одного коллективного судебного иска).

Сейчас популярность Zoom стремительно растет в связи с пандемией COVID-19, ведь все больше людей оказываются в самоизоляции и вынуждены работать и общаться исключительно удаленно. Акции компании на этом фоне тоже демонстрируют быстрый рост.

Приватность

В последние недели Zoom подергается критике со стороны многих ИТ-изданий. К примеру, Vice Motherboard недавно изучало представленные на рынке решения для организации видеоконференций и обнаружило, что видеовызовы в Zoom по умолчанию не имеют сквозного шифрования, и приложение предлагает жутковатые функции вроде attention tracking. С помощью этой функции можно отслеживать внимание участников беседы, и обнаруживать, когда человек отвлекся от активного окна Zoom более чем на полминуты.

Также Zoom критиковали Mashable, Фонд электронных рубежей (EFF), Forbes и многие другие. Все это побудило автора книги об интернет-маркетинге «The Cluetrain Manifesto» и известного исследователя Дока Сирлза разобраться в проблеме. Он отметил странную политику конфиденциальности приложения и подчеркнул, что Zoom имеет право собирать данные своих пользователей и их видеовстреч: имена, адреса и любые другие ID, информация о занимаемой должности и работодателе, профили Facebook и спецификации устройств, а также любой контент, которым делились при помощи сервиса (мгновенные сообщения, файлы, содержимое whiteboard и так далее). Хуже того, по словам Сирлза, приложение может работать с Google и другими рекламными сетями, чтобы затем конвертировать эту информацию в таргетированную рекламу.

«Zoom  — это рекламный бизнес в худшем его проявлении: тот, который живет за счет собранных личных данных. Еще более жутким его делает тот факт, что Zoom может собирать большое количество данных, некоторые из которых являются очень личными (например, разговор психолога с пациентом), — писал специалист. — Zoom не обязательно должен участвовать в рекламном бизнесе, особенно в той его части, которая живет как вампир за счет крови человеческих данных. Если Zoom требуется больше денег, нужно брать больше за свои услуги или отдавать меньше бесплатно».

Специалисты EFF тоже предупреждали о том, что хосты Zoom могут отслеживать активность пользователей во время совместного использования экрана, а администраторы могут просматривать «как, когда и где пользователи используют Zoom», а также получать доступ к содержимому записанных вызовов, включая «видео, аудио, расшифровки и файлы чата».

Под этим шквалом критики в минувшие выходные разработчики Zoom все же обновили политику конфиденциальности приложения. Теперь компания уверяет, что не продает какие-либо пользовательские данные маркетинговым компаниям или рекламодателям, и доступ к пользовательским данным предоставляется третьим сторонам, только если пользователь дает на это свое согласие. Также теперь подчеркивается, что сбор данных ведется только для предоставления услуг и повышения качества обслуживания, а сайты zoom.us и zoom.com являются маркетинговыми (но контролировать конфиденциальность при их посещении можно при помощи настроек cookie).

Безопасность

Однако одними лишь претензиями к приватности пользователей дело не ограничивается.

К примеру, Zoom уже припомнили прошлогоднюю уязвимость. Тогда при установке на macOS приложение поднимало на машине пользователя локальный веб-сервер с недокументированным API, который оставался в системе даже после удаления самого приложения и сохранял активность. В результате любой сайт, который помещал пользователь, мог взаимодействовать с упомянутым веб-сервером. Это позволяло осуществлять видеовызовы, подключаться к чужим звонкам и даже скрыто обновлять или переустанавливать само приложение (без каких-либо подтверждений со стороны жертвы). Также веб-сервер мог использоваться для DoS-атак, для чего было достаточно простых пингов.

Теперь же издание Bleeping Computer предупредило, что клиент Zoom для Windows может сливать учетные данные пользователей через UNC-ссылки.

Так, при использовании Zoom участники конференции могут отправлять друг другу текстовые сообщения через интерфейс чата. Любые переданные таким образом адреса преобразуются в гиперссылки, чтобы другие участники могли нажать на них и открыть в браузере по умолчанию.

Проблема заключается в том, что исследователь, известный под ником g0dmode, обнаружил, что Windows-клиент Zoom преобразует в ссылки UNC-пути.

Издание поясняет, что если пользователь нажмет на UNC-ссылку из примера выше, Windows попытается подключиться к удаленному сайту, используя протокол SMB, чтобы открыть удаленный файл cat.jpg. При этом Windows по умолчанию передаст имя пользователя и его NTLM хеши, которые затем можно будет взломать, используя такие инструменты, как Hashcat.

Кроме того, отмечается, что UNC-инжекты могут использоваться и для запуска каких-либо программ на локальном компьютере. К примеру,  \\127.0.0.1\C$\windows\system32\calc.exe приводит к запуску калькулятора.

Исследователи уже уведомили разработчиков Zoom о проблеме и объясняют, что UNC-пути не должны преобразовываться в ссылки. Но пока проблема еще не исправлена, поэтому в материале Bleeping Computer можно найти подробную инструкцию по минимизации рисков (чтобы учетные данные NTLM не передавались на удаленные серверы).

Хотя эта проблема может показаться не столь существенной, стоит помнить о том, что сейчас Zoom занимает примерно 20% рынка и находится под пристальным вниманием мошенников и злоумышленников всех мастей. Например, эксперты Check Point предупреждают, что с начала 2020 года было зарегистрировано более 1700 новых доменов, связанных с Zoom, и 25% из них были зарегистрированы на прошлой неделе. Около 4% этих доменов специалисты считают крайне подозрительными.

Кроме того, на этой неделе об опасностях Zoom пользователей предупредило и ФБР. Дело в том, что третьи лица все чаще присоединяются к видеоконференциям Zoom (онлайн-урокам и деловым встречам), с целью сорвать встречу или пошутить, а затем поделиться записью пранка в социальных сетях. К примеру, на удаленном занятии в одной из школ Массачусетса неопознанный человек присоединился к встрече и  демонстрировал татуировки со свастикой на камеру. В другом случае неизвестные прервали занятие, оскорбляя преподавателя.

Явление уже получило название Zoom-Bombing и приобретает все больший размах. Пользователям Zoom настоятельно рекомендуют не делиться идентификаторами встреч (PMI) и ссылками в общем доступе, устанавливать пароли на все встречи, использовать комнаты ожидания, а также своевременно обновлять приложение.

Оставить мнение