MY.UAНовини
Zoom: які є ризики та як безпечно використовувати додаток
Zoom: які є ризики та як безпечно використовувати додаток

Zoom: які є ризики та як безпечно використовувати додаток

Стрибок популярності Zoom після введення всесвітньої самоізоляції виявив безліч проблем з безпекою додатку, багато з яких носили критичний характер.

Деякі організації заборонили використання сервісу для вирішення службових завдань, але залишилося достатньо тих, хто продовжує зумитись, оскільки гідних альтернатив не так багато. У цій статті з'ясуємо, наскільки великі ризики тих, хто зберігає вірність Zoom, не звертаючи уваги на застереження.

Хіт-парад багів Zoom

За останні кілька місяців публікації про критичні вразливості в Zoom з'являлися в стрічках новин чи не частіше, ніж повідомлення про помилки Windows. Наведемо гучні проблеми:

  1. питання до шифрування і розшифровки записів конференцій;
     
  2. zero-day-уразливість вартістю 500 тис. доларів США;
     
  3. неавторизовані XMPP-запити;
     
  4. уразливості в macOS-клієнті, які надавали доступ до камери і мікрофону;
     
  5. вразливість в Windows-клієнті, яка давала можливість викрасти логін і пароль користувача через посилання і запустити будь-який додаток;
     
  6. передача даних в LinkedIn і Facebook;
     
  7. витік призначених для користувача даних;
     
  8. витік сотень тисяч записів відеоконференцій і їх публікація на YouTube і Vimeo;
     
  9. зумбомбінг.

Питання до шифрування

На сайті Zoom декларується, що всі відеодзвінки захищені end-2-end-шифруванням, проте дослідники з'ясували, що насправді все не так красиво: сервіс дійсно використовує шифрування, але сеансовий ключ клієнтська програма запитує у одного з серверів "системи управління ключами", що входять до складу хмарної інфраструктури Zoom. Ці сервери генерують ключ шифрування і видають його абонентам, які підключаються до конференції – один ключ для всіх учасників конференції.

Передача ключа від сервера до клієнта відбувається через протокол TLS, який також використовується для https. Якщо хтось з учасників конференції користується Zoom на телефоні, копія ключа шифрування також буде передана ще одному серверу-коннектору телефонії Zoom.

Частина серверів системи управління ключами (5 з 73) розташована в Китаї, причому вони використовуються для видачі ключів навіть коли всі учасники конференції знаходяться в інших країнах. З огляду на ступінь залежності від уряду китайських провайдерів, виникають справедливі побоювання, що гіпотетично уряд КНР може перехопити зашифрований трафік, а потім розшифрувати його за допомогою ключів, отриманих від провайдерів в добровільно-примусовому порядку.

Ще одна проблема шифрування в Zoom пов'язана з його практичною реалізацією:

  • хоча в документації вказано, що використовуються 256-бітові ключі AES, їх фактична довжина становить лише 128 біт;
     
  • алгоритм AES працює в режимі ECB – найгіршому з можливих режимів роботи AES, проблема якого в тому, що зашифровані дані частково зберігають структуру оригінальних даних.


Результат шифрування зображення з впровадженням режиму ECB та інших режимів AES / Фото Wikipedia

Zero-day-вразливість за $500 тисяч

В середині квітня були виявлені zero-day-вразливості в клієнтах Zoom для Windows і macOS. RCE-вразливість Windows-клієнта практично відразу ж було виставлено на продаж невідомими за 500 тис. доларів США. За заявою продавців, вона дозволяє віддалено виконати довільний код на Windows-комп'ютері зі встановленим клієнтом Zoom. Для експлуатації цієї помилки атакуючий повинен був подзвонити жертві, або брати участь з нею в одній конференції.

Уразливість в macOS-клієнті не давала таких можливостей, тому її використання в реальних атаках малоймовірно.

Відповіді на неавторизовані XMPP-запити

В кінці квітня в Zoom виявилася ще одна неприємна вразливість. За допомогою спеціально сформованого XMPP-запиту будь-який бажаючий міг отримати список всіх користувачів сервісу, що відносяться до будь-якого домену.

Дві вразливості в macOS-клієнті

Колишній співробітник АНБ Патрік Уордл виявив в Zoom-клієнті для macOS дві вразливості, що дозволяли зловмиснику захопити контроль над пристроєм.

Перша вразливість була пов'язана з тим, що інсталятор Zoom застосовував техніку тіньової установки, яку часто вживають шкідливі програми, щоб встановитися без взаємодії з користувачем. Локальний непривілейованийзловмисник міг впровадити в інсталятор Zoom шкідливий код і отримати привілеї root.

Друга вразливість дозволяла атакуючому впровадити шкідливий код у встановлений Zoom-клієнт і отримати доступ до камери і мікрофону, які вже надані з додатком. При цьому не буде відображатися ніяких додаткових запитів або повідомлень.

UNC-вразливість в Windows-клієнті

Виявлена ​​в клієнті Zoom для Windows вразливість могла привести до витоку облікових даних користувачів через UNC-посилання. При використанні Zoom учасники конференції можуть надсилати один одному текстові повідомлення через інтерфейс чату. Якщо повідомлення містить адресу сайту або ресурсу, він автоматично перетворюється в гіперпосилання, щоб інші учасники могли натиснути на нього і відкрити в браузері за замовчуванням.

Windows-клієнт Zoom перетворює посилання на UNC-шляхи. Якщо відправити в чат посилання виду \\abc.com\img\kitty.jpg, Windows спробує підключитися до цього сайту, використовуючи протокол SMB, щоб відкрити файл kitty.jpg. Віддалений сайт отримає від локального комп'ютера ім'я користувача і NTLM-хеш, який можна зламати, використовуючи утиліту Hashcat або інші інструменти.


Використовуючи цю техніку, можна запустити програму на локальному комп'ютері. Наприклад, за посиланням \127.0.0.1\C$\windows\system32\calc.exe запуститься калькулятор / Фото bleepingcomputer.com

Витоки облікових даних

На початку квітня на одному з хакерських форумів опублікували облікові дані 2300 користувачів Zoom. Дані в базі належать банкам, консультаційним компаніям, освітнім установам, лікарням і розробникам софта. Деякі записи, крім логінів і паролів, містили ідентифікатори зустрічей, імена і ключі їх організаторів.

 

Опубліковані на хакерському форумі дані користувачів Zoom / Фото intsights

Витоку записів відеодзвінків

На початку квітня на YouTube і Vimeo з'явилися у відкритому доступі записи особистих відеодзвінків користувачів Zoom. В їх числі були шкільні уроки, психотерапевтичні сеанси і консультації лікарів, а також корпоративні наради.

Причиною витоку стало те, що сервіс надавав відеоконференціям відкриті ідентифікатори, а організатори конференцій не захищали доступ до них паролем. В результаті будь-який бажаючий міг "злити" записи і використовувати їх на свій розсуд.

Передача даних в Facebook

В кінці березня вибухнув невеликий скандал: iOS-версія Zoom передавала дані в Facebook навіть якщо у користувача не було облікового запису у соціальній мережі.

Додаток Zoom використовував Facebook Graph API – спеціальний програмний інтерфейс, який дозволяє обмінюватися даними з соціальною мережею. Коли користувач відкривав Zoom, відомості про його пристрої, місцезнаходження, часовий пояс і стільниковий оператор разом з унікальним рекламним ідентифікатором відправлялися в Facebook.

Зумбомбінг

Викликане пандемією вибухове зростання кількості користувачів сервісу в поєднанні з не занадто суворими налаштуваннями безпеки конференцій за замовчуванням створив сприятливі умови для різного роду пранків і троллінгу. З'явилися цілі співтовариства зум-тролів, які вриваються на онлайн-уроки і вправляються там в своєрідній "дотепності", включаючи трансляцію свого екрану з грою або порнороликом, розмальовуючи документ на екрані непристойними зображеннями або голосно матюкаючись.

Але проблема значно ширша, ніж просто зрив онлайн-уроків. Журналісти The New York Times знайшли безліч закритих чатів і гілок на форумах Reddit і 4Chan, учасники яких організовують масові кампанії по зриву публічних заходів, онлайн-зустрічей товариств анонімних алкоголіків та інших Zoom-зустрічей. Вони розшукують опубліковані в загальному доступі реквізити для підключення, а потім збирають і розміщують на форумах списки заходів, запрошуючи інших тролів приєднатися до "веселощів".

Реакція компаній і Zoom

З огляду на велику кількість проблем з безпекою, багато компаній і урядових організацій відмовляються від Zoom, забороняючи своїм співробітникам користуватися сервісом. В їх числі Google, Сенат США і Уряд Німеччини, NASA і SpaceX, а також безліч інших компаній і урядів різних країн.

Програм без помилок не буває, тому їх виявлення в Zoom не є чимось незвичайним. Набагато важливіше те, як компанія-розробник реагує на виявлені помилки. На початковому етапі Zoom проявив абсолютно неприйнятну повільність, ігноруючи можливість дізнаватися про проблеми. Однак масові відмови від використання сервісу зіграли свою роль. У своєму інтерв'ю CNN на початку квітня CEO Zoom Ерік Юань сказав, що компанія рухалася надто швидко, тому вони допустили деякі помилки. Засвоївши урок, вони зробили крок назад, щоб зосередитися на конфіденційності та безпеці.

Цим кроком назад стала програма "90 днів до безпеки", що була запущена 1 квітня 2020 року. Відповідно до неї компанія зупиняє роботу над новими функціями і займається тільки усуненням виявлених проблем, а також проводить аудит безпеки коду.

Видимим для користувачів результатом цієї програми став випуск Zoom версії 5.0, в якій крім іншого був проведений апгрейд AES-шифрування до 256 біт, а також реалізовано безліч інших доробок, пов'язаних з безпекою за замовчуванням.

Рекомендації

Використання будь-яких програм вимагає відповідального ставлення до безпеки, і Zoom не виняток.

Правила, які допоможуть захистити ваші онлайн-конференції.

  1. Використовуйте останню версію програмного забезпечення.
     
  2. Завантажуйте установник програми тільки з офіційних ресурсів.
     
  3. Переконайтеся, що ID зустрічі генерується автоматично для повторюваних заходів.
     
  4. Не публікуйте ID зустрічей в інтернеті.
     
  5. Забороніть передачу файлів.
     
  6. Дозвольте показ екрану тільки організатору зустрічі, щоб захиститися від зумбомбінга.
     
  7. Дозволяйте підключення до зустрічей лише авторизованим користувачам.
     
  8. Закрийте можливість нових підключень після початку заходу.
     
  9. Увімкніть для організатора можливість блокувати або видаляти учасників зустрічі.

Заходи, які реалізує розробник Zoom, і дотримання правил "онлайн-гігієни" для відеоконференцій дозволять ефективно та безпечно працювати навіть в умовах пандемії.

Поділитися
Поділитися сюжетом
Джерело матеріала
Ігор Ніколаєв звернувся до дочки, яку більше не бачить - причина
GlavRed
2025-10-29T04:27:49Z
Меган Маркл показала рідкісний сімейний момент із принцом Гаррі та дітьми
GlavRed
2025-10-29T01:27:15Z
Найсексуальніший чоловік у світі вперше став батьком - ЗМІ
GlavRed
2025-10-28T23:27:33Z
Що дивитися на Netflix у листопаді: 7 найцікавіших фільмів і серіалів місяця
24tv
2025-10-28T23:21:26Z
3 фільми про війну, які має подивитись кожен українець
24tv
2025-10-28T22:33:20Z
Які серіали подивитись, якщо сподобався "Дім Гіннесів" від Netflix
24tv
2025-10-28T21:06:15Z
Підозру оголосили: Філіпа Кіркорова можуть посадити до в'язниці
GlavRed
2025-10-28T20:54:09Z
Хливнюк заявив, що не любить музику, як у Барських: артист відреагував
24tv
2025-10-28T20:06:38Z
"Ганьба вам": Сумська накинулася на журналістку, яка її публічно принизила
GlavRed
2025-10-28T19:27:08Z
Як відрізнити нові 100 доларів від підробки
24tv
2025-10-29T06:06:08Z
Експерт пояснив, чому зниження цін на продукти не стримало інфляцію у вересні
ZN UA
2025-10-29T06:03:34Z
Кнут и пряник от ЕС: по каким правилам будет осуществляться торговля с Украиной
Европейская правда
2025-10-29T06:03:34Z
Набула чинності оновлена торговельна угода між Україною та ЄС
AgroPortal
2025-10-29T06:00:50Z
Китай перешкоджає виробництву дронів в Україні
ГЛАВКОМ NET
2025-10-29T05:42:32Z
Подорожчання продуктів у Дніпрі: як змінилася цінова ситуація в магазинах
Политека
2025-10-29T05:30:58Z
Болгарія та Rheinmetall уклали угоду про будівництво заводу: що вироблятимуть
InternetUA
2025-10-29T05:28:57Z
В Україні посилять правила для ФОПів: що зміниться з 1 січня
Хвиля
2025-10-29T05:21:57Z
У Росії занепадає роздрібна торгівля - розвідка
УкраинФорм
2025-10-29T04:42:47Z
Коригував повітряні атаки РФ: експрацівника миколаївського вишу судили за держзраду
InternetUA
2025-10-29T06:27:06Z
Попереджувальний постріл Трампа: США запровадили санкції проти нафтового сектору рашистів
Известия Киев
2025-10-29T06:24:43Z
Маніпуляції штучним інтелектом: у ЦПД розповіли про нову інформаційну загрозу з боку Росії
УкраинФорм
2025-10-29T06:24:16Z
Трамп погодив ракети для японських винищувачів F-35
InternetUA
2025-10-29T06:18:32Z
Росіяни атакували два райони Дніпропетровщини, є поранений
УкраинФорм
2025-10-29T06:12:58Z
Гордон розповів, як Кашпіровський лікував його сина
ГЛАВКОМ NET
2025-10-29T06:00:59Z
Нідерланди голосують на дострокових парламентських виборах
Европейская правда
2025-10-29T05:51:05Z
«Стежте за грошима»: експерт розповів, як «Буревісник» поховав російську біржу
Политека
2025-10-29T05:46:58Z
Трамп відреагував на ракетні випробування Північної Кореї
ГЛАВКОМ NET
2025-10-29T05:27:40Z
Невідомі дрони залетіли в РФ: лунали гучні вибухи, палають НПЗ
GlavRed
2025-10-29T06:27:31Z
Вибух газу у Хмельницькому: в ОВА повідомили про загиблих
ZN UA
2025-10-29T06:18:45Z
На Херсонщині за добу через удари РФ загинула одна людина, ще троє поранені
УкраинФорм
2025-10-29T06:03:31Z
Неочікувано: екс-керівник Stellantis прогнозує розпад мегаконцерну
ЗаРулем
2025-10-29T05:48:17Z
У Росії, ймовірно, був атакований Марійський НПЗ, що за 1000 кілометрів від України
24tv
2025-10-29T05:24:28Z
Під завалами будинку у Хмельницькому, де стався вибух, знайшли тіла двох людей
Комсомольская правда
2025-10-29T05:24:16Z
На Одещині деякі поїзди прямують із затримкою
ГЛАВКОМ NET
2025-10-29T05:15:03Z
Жінка втратила понад 100 тисяч гривень, купуючи цуценя в Інтернеті
InternetUA
2025-10-29T05:06:14Z
Дронова атака в Росії - вибухи на нафтохімічному заводі у Ставрополі та пожежа на нафтобазі в Ульяновську
Комсомольская правда
2025-10-29T05:03:55Z
Забудьте про ванну: експерт пояснив, де у квартирі багатоповерхівки найвищий шанс вижити
TSN
2025-10-29T06:30:07Z
Безкоштовне житло для ВПО у Кіровоградській області: де гарантовано поселять
Политека
2025-10-29T06:30:06Z
Туреччина поставила на озброєння перші танки власної розробки та виробництва
УкраинФорм
2025-10-29T06:30:01Z
Працював 10 років – отримаєш 20: деякі українці можуть подвоїти стаж
Знай
2025-10-29T06:06:16Z
Грошова допомога у Запоріжжі з 1 листопада: яким категоріям доступні виплати
Политека
2025-10-29T06:00:13Z
Обірвані дроти «Суспільного». Післямова до диктанту
ГЛАВКОМ NET
2025-10-29T05:51:35Z
Армія РФ втратила на війні проти України ще 1150 військових
УкраинФорм
2025-10-29T05:51:21Z
Стосується кожного пенсіонера за кордоном: у ПФУ оголосили про важливу зміну
Хвиля
2025-10-29T05:45:51Z
Сили оборони за добу відмінусували 1150 солдатів РФ та 20 артилерійських систем
Украинская правда
2025-10-29T05:24:32Z
Нейрохірург Генрі Марш: Важко уявити щось огидніше, ніж розмова Путіна із Сі Цзіньпіном про пересадку органів для вічного життя
Украинская правда
2025-10-29T03:34:10Z
Раннє виявлення хвороб: як працюватиме національна програма скринінгів здоров’я
Хвиля
2025-10-29T00:30:08Z
Медичний догляд для ветеранів: в Україні стартував новий проєкт
Хвиля
2025-10-28T21:12:20Z
Сон при світлі може викликати небезпечні захворювання — дослідження
TSN
2025-10-28T20:48:18Z
Солодка смакота за копійки: потрібно лише 3 інгредієнти і 15 хвилин вашого часу
GlavRed
2025-10-28T20:27:47Z
Як захиститися від вірусів та зимових захворювань: лікарі поділилися ефективними методами
Знай
2025-10-28T19:51:46Z
Удар по складу ліків у Києві: в МОЗ розповіли, чи буде дефцит препаратів
ZN UA
2025-10-28T19:33:28Z
Польща передала Україні 30 тисяч упаковок антибіотиків
УкраинФорм
2025-10-28T18:00:52Z
Українські фахівці отримали доступ до світових стандартів лікування ігрової залежності
Политека
2025-10-28T17:12:21Z
Компактний концепт Mazda Vision-X втілює масштабні ідеї у мініатюрному виконанні
Топ Жир
2025-10-29T04:00:41Z
Концепт-кар Mazda Vision-X Coupe — це японський автомобіль з роторним двигуном, натхненний стилем CLS
Топ Жир
2025-10-29T04:00:02Z
Мініатюрний суперкар Honda відтворює звук мотора та має коробку передач
Топ Жир
2025-10-29T03:27:37Z
Nissan представив оновлений Elgrand після п’ятнадцятирічної перерви
Топ Жир
2025-10-29T02:57:10Z
Купейна модель Century очолює боротьбу Toyota проти Rolls-Royce
Топ Жир
2025-10-29T02:27:26Z
Лексус LS перетворився на дивний фургон із шістьма колесами
Топ Жир
2025-10-29T02:15:29Z
Honda планує розпочати продажі оригінального електричного кросовера у 2027 році
Топ Жир
2025-10-29T01:45:30Z
Вона керує Lamborghini та, ймовірно, робить це краще за тебе
Топ Жир
2025-10-29T00:42:15Z
Rivian дослідила конструкцію електромобіля Xiaomi та виявила переваги, недосяжні для американських виробників
Топ Жир
2025-10-29T00:12:47Z
Дрони влаштували ранкову "бавовну" в Криму: уражено ТЕЦ і нафтобазу
TSN
2025-10-29T06:30:43Z
Росія і Крим під масованою атакою дронів: відео вибухів і пожеж
Лига
2025-10-29T06:30:07Z
Україну накриє різке похолодання і налетить сніг: синоптик Мартазінова назвала дати небезпечної погоди
GlavRed
2025-10-29T06:27:34Z
На фронті за добу 148 атак ворога, 45 з них на Покровському напрямку – Генштаб
Украинская правда
2025-10-29T06:27:15Z
Карта бойових дій в Україні станом на 29 жовтня 2025 року
ГЛАВКОМ NET
2025-10-29T06:15:16Z
Українців попередили про аномальний листопад: синоптик описав погоду по областях
Хвиля
2025-10-29T06:12:09Z
Якою буде погода у листопаді: синоптики дали перший прогноз
24tv
2025-10-29T06:06:29Z
У Криму спалахнула нафтобаза росіян
ГЛАВКОМ NET
2025-10-29T06:00:11Z
Ворог за добу 627 разів бив по Запорізькій області, двоє поранених
УкраинФорм
2025-10-29T05:51:42Z
Гороскоп на завтра 30 жовтня: Ракам - серйозна сварка, Козорогам - прибуток
GlavRed
2025-10-29T06:27:26Z
Гороскоп на 29 жовтня для всіх знаків зодіаку: діємо без страху і сумнівів
Вива
2025-10-29T05:00:46Z
Супертест на IQ: знайдіть 5 відмінностей на картинках співачки за 37 секунд
GlavRed
2025-10-29T04:27:18Z
Три знаки зодіаку отримають важливе послання від Всесвіту вже ось-ось
GlavRed
2025-10-29T04:27:15Z
Герметична тара не рятує від шкідників: простий спосіб, який збереже квасолю
GlavRed
2025-10-28T22:27:25Z
Таргани втечуть назавжди: як швидко приготувати найдешевший та найдієвіший засіб
Знай
2025-10-28T21:51:03Z
Відкрита банка томатної пасти більше не цвістиме: лайфхак, який стане у пригоді усім
24tv
2025-10-28T21:27:55Z
Астрологи назвали найсильніші жінки за знаком зодіаку
GlavRed
2025-10-28T20:27:12Z
Ці місця створені для кохання: ідеальні напрямки для подорожі з другою половинкою
24tv
2025-10-28T20:18:17Z
Старий Android-смартфон легко прискорити — що потрібно увімкнути
InternetUA
2025-10-29T06:21:41Z
Чи може батарея опалення пошкодити дроти від техніки: коротке пояснення фахівця
InternetUA
2025-10-29T06:03:07Z
Технологічний локдаун: урядовий параліч США призвів до затримки виходу нових ґаджетів
InternetUA
2025-10-29T05:03:51Z
Огляд Vampire: The Masquerade – Bloodlines 2. Осиновий кілок у серця фанатів
ITC
2025-10-29T05:03:32Z
Магнітні бурі "вдарять" по Україні: як пережити небезпечні дні листопада
Хвиля
2025-10-29T04:57:46Z
Як прибрати гіркоту з баклажанів: кластий лайфхак зекономить час і нерви
GlavRed
2025-10-29T04:27:30Z
Ми з тобою не однієї крові: вчені розповіли, чому вимерли неандертальці
ZN UA
2025-10-29T04:09:38Z
Фейкові листи від імені податкової: шахраї розсилають вірусні повідомлення
УкраинФорм
2025-10-29T01:03:34Z
Смартфон знову оживе: як відремонтувати телефон власноруч без ризику
CutInsight
2025-10-28T23:15:33Z
Евра — гравцям Ювентуса: Візьміть на себе відповідальність
Football.ua
2025-10-29T06:12:46Z
Динамо Київ — Шахтар. Напередодні
Football.ua
2025-10-29T05:57:25Z
Двічі одружений і не підійшов Динамо: що відомо про Руслана Ротаня
24tv
2025-10-29T05:21:33Z
Чи буде бій з Усиком: менеджер Вордлі назвав наступного суперника для британця
24tv
2025-10-29T05:15:21Z
Ганьба "Динамо": Артем Мілевський жорстко прокоментував розгром рідного клубу у Туреччині
Знай
2025-10-29T03:51:19Z
«Барком-Кажани» оформили першу перемогу сезону польської Плюс-ліги
ГЛАВКОМ NET
2025-10-28T22:54:14Z
Іньїго Перес — найкращий тренер Ла Ліги в жовтні
Football.ua
2025-10-28T22:45:07Z
Ан-Наср Роналду вилетів з кубка Короля
Football.ua
2025-10-28T22:42:40Z
Українці вивели Жирону до наступного раунду Кубка Іспанії — Циганков і Ванат забили у додатковий час
Football.ua
2025-10-28T22:42:15Z