Xakep #305. Многошаговые SQL-инъекции
Из-за повсеместной самоизоляции и карантина приложение для проведения видеоконференций Zoom обрело небывалую популярность: количество его пользователей возросло с 10 000 000 человек в декабре 2019 года до 200 000 000 в марте 2020 года. Однако вместе с популярностью разработчики Zoom заполучили и множество проблем.
На этой неделе, вслед за НАСА и SpaceX, компания Google запретила своим сотрудникам использовать Zoom. Тем временем разработчики приложения предпринимают шаги по улучшению безопасности. В частности, в компании уже создали совет CISO, а также пригласили в качестве консультанта Алекса Стамоса, бывшего главу безопасности Facebook.
Новые запреты
На прошлой неделе НАСА и SpaceX запретили своим сотрудникам использовать приложение для проведения видеоконференций Zoom, так как оно имеет существенные проблемы с безопасностью и конфиденциальностью.
Дело в том, что приложение в последнее время подвергается жесткой критике со стороны СМИ и ИБ-специалистов. Например, было замечено, что приложение сливало информацию Facebook, лукавило на счет end-to-end шифрования, а также не поясняло, зачем вообще собирает информацию о пользователях. Кроме того, пользователи сообщали, что из-за бага в их списках контактов оказались сотни незнакомцев, а эксперты обнаруживали, что Windows-клиент Zoom преобразует в ссылки UNC-пути, тогда как Zoom для MacOS позволяет локальному злоумышленнику или малвари получить в системе root-права.
Также стоит упомянуть и феномен Zoom-Bombing. Мы уже писали о том, что третьи лица все чаще присоединяются к видеоконференциям Zoom (онлайн-урокам, деловым встречам и так далее), с целью сорвать встречу или пошутить, а затем поделиться записью пранка в социальных сетях. К примеру, на удаленном занятии в одной из школ Массачусетса неопознанный человек присоединился к встрече и демонстрировал татуировки со свастикой на камеру. В другом случае неизвестные прервали занятие, оскорбляя преподавателя. Об опасности этого явления уже предупреждало ФБР, и правоохранители подчеркивали, что Zoom-Bombing незаконен и за него можно понести наказание (штраф или даже тюремное заключение).
Но, как оказалось, НАСА и SpaceX стали лишь первыми из многих. Так, издание BuzzFeed сообщает, что теперь аналогичные меры в отношении Zoom приняла Google: компания заблокирует работу Zoom на компьютерах и смартфонах, предоставляемых сотрудникам.
«Мы давно не разрешаем нашим сотрудникам использовать неутвержденные приложения для работы вне корпоративной сети. Недавно наша команда безопасности проинформировала сотрудников, использующих Zoom Desktop Client, что он более не будет работать на корпоративных устройствах, поскольку не соответствует нашим стандартам безопасности для приложений. Сотрудники, которые использовали Zoom для поддержания связи с семьей и друзьями, могут продолжать делать это через браузер или мобильный телефон», — рассказали в Google журналистам издания The Verge.
Дистанцируются от Zoom и другие: например, на Тайване Zoom запретили использовать правительственным служащим, так как трафик приложения проходит через серверы в Китае. А в школах Нью-Йорка учителям рекомендовали «постепенно отказывать от Zoom» в пользу других сервисов для проведения видеоконференций.
Улучшения безопасности
Как мы уже рассказывали ранее, в ответ на это разработчики Zoom сообщили, что уже исправили ряд обнаруженных экспертами проблем: в частности разработчики извинились за путаницу вокруг E2E-шифрования, убрали из Zoom жутковатую функцию, позволявшую отслеживать внимание пользователей, а также избавились от кода, который сливал данные LinkedIn и Facebook.
Также в компании заявили, что вообще останавливают разработку приложения на 90 дней, и полностью сосредоточатся на улучшении его безопасности, а также проведут аудит с привлечением сторонних специалистов.
Вчера, 8 апреля 2020 года, в компании сообщили, что уже сформировали совет CISO, а также создали консультативный совет для сотрудничества и обмена идеями о том, как решать текущие проблемы безопасности и конфиденциальности Zoom. В него вошли CISO от VMware, Netflix, Uber, Electronic Arts и других крупных компаний.
Также Zoom привлекла в качестве консультанта Алекса Стамоса, бывшего главу безопасности Facebook, который поможет в проведении комплексного анализа безопасности платформы.
Продолжается и работа над исправлением различных недочетов и багов. К примеру, для улучшения конфиденциальности из интерфейса Zoom наконец-то убрали ID собраний, который раньше отображался прямо в заголовке приложения.
Проблема заключалась в том, что многие компании и пользователи обнародовали эти ID и даже пароли случайно, публикуя скриншоты своих собраний в социальных сетях. К примеру, премьер-министр Великобритании Борис Джонсон поделился ID заседания кабинета министров Великобритании, а члены парламента Бельгии случайно раскрыли идентификатор и пароль, опубликовав скриншот собрания комитета обороны. Подобные утечки идентификаторов как раз активно используются троллями и пранкерами, которые практикуют вышеупомянутый Zoom-Bombing.
This morning I chaired the first ever digital Cabinet.
— Boris Johnson #StayHomeSaveLives (@BorisJohnson) March 31, 2020
Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp
Parlement is opnieuw aan de slag! Vandaag commissie #Defensie "via videoconferentie".
— Michael Freilich, MP (@MichaelFreilich) April 8, 2020
Hierin pleitten collega's @FranckenTheo voor uitbreiding militaire steun aan rusthuizen en bedankte @PeterBuysrogge de @BelgiumDefence manschappen voor hun inzet. #coronavirus #StayAtHome pic.twitter.com/BOAmdYXSAI
Также на этой неделе в Zoom упросили управление настройками безопасности для организаторов собраний. Теперь для этого в приложении есть специальный значок на панели управления, и организатор собрания может управлять всеми настройками безопасности из одного места, для этого больше не нужно перемещаться по разным экранам.