Хакеры пользуются возросшей популярностью Zoom, а исследователи критикуют приложение

0C18DE46-7257-4631-8BCB-F50688DC8D5D.jpeg

В последнее время в сети всё вообще всплывает название Zoom. Что это такое, почему об этом сервисе все говорят?

За последние дни в нем собралось более 200 млн активных пользователей, хотя на 15 марта их было всего 600 тысяч.

Это история мечтателя, ставшего миллиардером и покорившего сердца миллионов.

Оба родителя главы Zoom Эрика Юаня — горные инженеры. Он вырос в китайской провинции Шаньдун. В юности парень вдохновлялся основателями крупнейших IT-компаний, например, Биллом Гейтсом, но основы программирования долгое время ему не давались. Однако упорный труд всё изменил.

240B5693-BC67-48D4-9143-E4F87307150E.jpegЭрик Юань

Его мечтой было попасть в Кремниевую долину и создать собственный стартап. Это оказалось не так уж и просто. Ему отказывали в получении визы 8 раз. Однако в 1997 году всё-таки разрешили. В США Юань устроился в компанию WebEx, где работал над созданием платформы для онлайн-конференций.

Наработки оказались полезны в будущем. В 2007 году Cisco выкупила WebEx за $3,2 млрд, а Юань дослужился до главы инженерного отдела. Спустя 4 года он покинул компанию ради создания собственного бизнеса.

Самым сложным для меня в то время было объяснить жене, почему я ввязался в столь сомнительную авантюру и бросил работу с хорошим окладом.

— Эрик Юань

Юань позвал бывшего директора по развитию Cisco Дэна Шейнмана на чашечку чая и решил показать свой новый проект. Они пересекались во время работы в Cisco и даже находились в хороших отношениях.

Но всё-таки Шейнману идея казалась безумной из-за наличия конкурентов в виде Skype, Google Hangouts и прочих. Поэтому Дэн сделал пару звонков и почти сразу выписал чек на $250 тыс., даже не посмотрев презентацию.

Я тогда сказал: я верю в тебя, и мне нет дела до этой презентации, потому что всё дело в тебе.

— Дэн Шейнман

Но Юань всё-таки показал свою презентацию и настолько впечатлил инвесторов, что они вложили в его проект $3 млн.

Идея окупилась. К 2015 году сервисом пользовалось 65 тысяч компаний.

В 2019 году Zoom вышла на IPO. После первого дня торгов сервис оценили в $15,9 млрд.

Что за Zoom такой

06975041-E2EE-4E50-95E5-DDED86F0347F.jpeg

Zoom — это кроссплатформенный сервис видеоконференций. Некий аналог Skype, но для более узкой аудитории.

Работает по модели freemium, предлагая при бесплатном доступе создание конференции до 100 человек при общей длительности не более 40 минут. Для увеличения лимита требуется заплатить $14,99.

В отличие от конкурентов, Zoom не предлагает раздутый функционал. Он сосредоточен только на видеоконференциях. Разработчики бросили все силы на улучшение качества передачи видео и звука.

Пользователи отмечают среди достоинств:

На основном экране есть панель со всеми конференциями, плюс временем, на которое они запланированы. На второй вкладке сама конференция и ссылка, либо код для приглашения других участников. Дальше остаются только список контактов и базовые настройки.

Кроме того, Zoom позволяет транслировать не только видео с камеры, но и с экрана рабочего стола. Даже на iPhone.

В ходе конференции можно отключать как видео, так и аудио. Плюс можно посмотреть список активных участников. Других лишних кнопок нет.

Хорошая связь и коронавирус обеспечили популярность Zoom

В Zoom простой интерфейс, есть приятные функции, плюс хорошее качество соединения.

Но не только за это полюбили сервис. Он быстрее всех сервисов отреагировал на вспышку пандемии коронавируса.

Учеников, студентов и сотрудников различных организаций перевели на удалённое обучение или работу. Другие сервисы ещё в самом начале эпидемии не позволяли бесплатно создавать видеоконференции на большое количество человек, либо на длительное время. А Zoom разрешил, сняв все ограничения.

В компании вообще не вкладывались в рекламу, у неё даже нет маркетингового отдела. Юань был настолько уверен в своём проекте, что ему хватило принципа «сарафанного радио». Люди начали пользоваться сервисом и рекомендовать его другим.

И если раньше «зумом» пользовались, в основном, компании, то сейчас во время пандемии в него перешли школы и университеты.

Школьники вовсю ищут лазейки, как бы скрыть своё отсутствие на уроках, и успешно с этим справляются, например, подменяя фон на динамический с якобы собой. Способов уловок много, и это радует учащихся, сподвигая к дальнейшему использованию сервиса.

К безопасности Zoom есть вопросы

Чем больше популярность, тем выше шанс того, что этим начнут пользоваться злоумышленники.

Проблемы растут с самой политики конфиденциальности. Так, Zoom позволяет использовать информацию о юзерах для таргетированной рекламы. То есть компания передаёт информацию о ваших предпочтениях и некоторые личные данные, чтобы потом пользователи смогли получать конкретную рекламу товаров или услуг.

Нет никаких гарантий, что такая относительно небольшая компания сможет обеспечить должный уровень безопасности и избежать утечек данных.

Также в «зуме» есть функция, позволяющая руководителям следить за подчиненными в рабочее время. А на открытых вебинарах уже случались казусы, когда на лекцию внезапно врывались интернет-тролли и запускали трансляцию порнографии с экрана рабочего стола.

Кроме того, сервис не поддерживает end-to-end шифрование, как отмечают эксперты по кибербезопасности, хотя в компании это всячески отрицают. Некоторые пользователи жаловались, что в их списке контактов появлялись совершенно незнакомые люди.

А на днях издание Vice Motherboard заявило, что из-за уязвимости приложение раскрывает электронные адреса и фотографии тысяч пользователей, а также позволяет осуществлять видеозвонки с незнакомцами.

В общем, проблем с безопасностью хватает. Но Zoom пообещала всё оперативно устранить.

Удачи. И спасибо, что сделали бесплатно.

🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram. … и не забывай читать наш Facebook и Twitter 🍒 iPhones.ru Все началось с мечты. —>

Xakep #252. Чемоданчик хакера

Ранее на этой неделе приложение для видеоконференций Zoom уже оказалось в центре скандала, так как передавало данные своих пользователей Facebook. Тогда разработчики сообщили, что произошла ошибка, они не знали о подобных функциях Facebook SDK и спешно отказались от его использования (что, впрочем, не уберегло компанию как минимум от одного коллективного судебного иска).

Сейчас популярность Zoom стремительно растет в связи с пандемией COVID-19, ведь все больше людей оказываются в самоизоляции и вынуждены работать и общаться исключительно удаленно. Акции компании на этом фоне тоже демонстрируют быстрый рост.

Приватность

В последние недели Zoom подергается критике со стороны многих ИТ-изданий. К примеру, Vice Motherboard недавно изучало представленные на рынке решения для организации видеоконференций и обнаружило, что видеовызовы в Zoom по умолчанию не имеют сквозного шифрования, и приложение предлагает жутковатые функции вроде attention tracking. С помощью этой функции можно отслеживать внимание участников беседы, и обнаруживать, когда человек отвлекся от активного окна Zoom более чем на полминуты.

Также Zoom критиковали Mashable, Фонд электронных рубежей (EFF), Forbes и многие другие. Все это побудило автора книги об интернет-маркетинге «The Cluetrain Manifesto» и известного исследователя Дока Сирлза разобраться в проблеме. Он отметил странную политику конфиденциальности приложения и подчеркнул, что Zoom имеет право собирать данные своих пользователей и их видеовстреч: имена, адреса и любые другие ID, информация о занимаемой должности и работодателе, профили Facebook и спецификации устройств, а также любой контент, которым делились при помощи сервиса (мгновенные сообщения, файлы, содержимое whiteboard и так далее). Хуже того, по словам Сирлза, приложение может работать с Google и другими рекламными сетями, чтобы затем конвертировать эту информацию в таргетированную рекламу.

«Zoom  — это рекламный бизнес в худшем его проявлении: тот, который живет за счет собранных личных данных. Еще более жутким его делает тот факт, что Zoom может собирать большое количество данных, некоторые из которых являются очень личными (например, разговор психолога с пациентом), — писал специалист. — Zoom не обязательно должен участвовать в рекламном бизнесе, особенно в той его части, которая живет как вампир за счет крови человеческих данных. Если Zoom требуется больше денег, нужно брать больше за свои услуги или отдавать меньше бесплатно».

Специалисты EFF тоже предупреждали о том, что хосты Zoom могут отслеживать активность пользователей во время совместного использования экрана, а администраторы могут просматривать «как, когда и где пользователи используют Zoom», а также получать доступ к содержимому записанных вызовов, включая «видео, аудио, расшифровки и файлы чата».

Под этим шквалом критики в минувшие выходные разработчики Zoom все же обновили политику конфиденциальности приложения. Теперь компания уверяет, что не продает какие-либо пользовательские данные маркетинговым компаниям или рекламодателям, и доступ к пользовательским данным предоставляется третьим сторонам, только если пользователь дает на это свое согласие. Также теперь подчеркивается, что сбор данных ведется только для предоставления услуг и повышения качества обслуживания, а сайты zoom.us и zoom.com являются маркетинговыми (но контролировать конфиденциальность при их посещении можно при помощи настроек cookie).

Безопасность

Однако одними лишь претензиями к приватности пользователей дело не ограничивается.

К примеру, Zoom уже припомнили прошлогоднюю уязвимость. Тогда при установке на macOS приложение поднимало на машине пользователя локальный веб-сервер с недокументированным API, который оставался в системе даже после удаления самого приложения и сохранял активность. В результате любой сайт, который помещал пользователь, мог взаимодействовать с упомянутым веб-сервером. Это позволяло осуществлять видеовызовы, подключаться к чужим звонкам и даже скрыто обновлять или переустанавливать само приложение (без каких-либо подтверждений со стороны жертвы). Также веб-сервер мог использоваться для DoS-атак, для чего было достаточно простых пингов.

Теперь же издание Bleeping Computer предупредило, что клиент Zoom для Windows может сливать учетные данные пользователей через UNC-ссылки.

Так, при использовании Zoom участники конференции могут отправлять друг другу текстовые сообщения через интерфейс чата. Любые переданные таким образом адреса преобразуются в гиперссылки, чтобы другие участники могли нажать на них и открыть в браузере по умолчанию.

Проблема заключается в том, что исследователь, известный под ником g0dmode, обнаружил, что Windows-клиент Zoom преобразует в ссылки UNC-пути.

Издание поясняет, что если пользователь нажмет на UNC-ссылку из примера выше, Windows попытается подключиться к удаленному сайту, используя протокол SMB, чтобы открыть удаленный файл cat.jpg. При этом Windows по умолчанию передаст имя пользователя и его NTLM хеши, которые затем можно будет взломать, используя такие инструменты, как Hashcat.

Кроме того, отмечается, что UNC-инжекты могут использоваться и для запуска каких-либо программ на локальном компьютере. К примеру,  \127.0.0.1C$windowssystem32calc.exe приводит к запуску калькулятора.

Исследователи уже уведомили разработчиков Zoom о проблеме и объясняют, что UNC-пути не должны преобразовываться в ссылки. Но пока проблема еще не исправлена, поэтому в материале Bleeping Computer можно найти подробную инструкцию по минимизации рисков (чтобы учетные данные NTLM не передавались на удаленные серверы).

Хотя эта проблема может показаться не столь существенной, стоит помнить о том, что сейчас Zoom занимает примерно 20% рынка и находится под пристальным вниманием мошенников и злоумышленников всех мастей. Например, эксперты Check Point предупреждают, что с начала 2020 года было зарегистрировано более 1700 новых доменов, связанных с Zoom, и 25% из них были зарегистрированы на прошлой неделе. Около 4% этих доменов специалисты считают крайне подозрительными.

Кроме того, на этой неделе об опасностях Zoom пользователей предупредило и ФБР. Дело в том, что третьи лица все чаще присоединяются к видеоконференциям Zoom (онлайн-урокам и деловым встречам), с целью сорвать встречу или пошутить, а затем поделиться записью пранка в социальных сетях. К примеру, на удаленном занятии в одной из школ Массачусетса неопознанный человек присоединился к встрече и  демонстрировал татуировки со свастикой на камеру. В другом случае неизвестные прервали занятие, оскорбляя преподавателя.

Явление уже получило название Zoom-Bombing и приобретает все больший размах. Пользователям Zoom настоятельно рекомендуют не делиться идентификаторами встреч (PMI) и ссылками в общем доступе, устанавливать пароли на все встречи, использовать комнаты ожидания, а также своевременно обновлять приложение.

Используемые источники:

  • https://www.iphones.ru/inotes/chto-takoe-zoom-o-kotorom-vse-seychas-govoryat-04-03-2020
  • https://xakep.ru/2020/04/01/zoom-problems/

Рейтинг автора
5
Подборку подготовил
Андрей Ульянов
Наш эксперт
Написано статей
168
Ссылка на основную публикацию
Похожие публикации