MY.UAНовини
Zoom: які є ризики та як безпечно використовувати додаток
Zoom: які є ризики та як безпечно використовувати додаток

Zoom: які є ризики та як безпечно використовувати додаток

Стрибок популярності Zoom після введення всесвітньої самоізоляції виявив безліч проблем з безпекою додатку, багато з яких носили критичний характер.

Деякі організації заборонили використання сервісу для вирішення службових завдань, але залишилося достатньо тих, хто продовжує зумитись, оскільки гідних альтернатив не так багато. У цій статті з'ясуємо, наскільки великі ризики тих, хто зберігає вірність Zoom, не звертаючи уваги на застереження.

Хіт-парад багів Zoom

За останні кілька місяців публікації про критичні вразливості в Zoom з'являлися в стрічках новин чи не частіше, ніж повідомлення про помилки Windows. Наведемо гучні проблеми:

  1. питання до шифрування і розшифровки записів конференцій;
     
  2. zero-day-уразливість вартістю 500 тис. доларів США;
     
  3. неавторизовані XMPP-запити;
     
  4. уразливості в macOS-клієнті, які надавали доступ до камери і мікрофону;
     
  5. вразливість в Windows-клієнті, яка давала можливість викрасти логін і пароль користувача через посилання і запустити будь-який додаток;
     
  6. передача даних в LinkedIn і Facebook;
     
  7. витік призначених для користувача даних;
     
  8. витік сотень тисяч записів відеоконференцій і їх публікація на YouTube і Vimeo;
     
  9. зумбомбінг.

Питання до шифрування

На сайті Zoom декларується, що всі відеодзвінки захищені end-2-end-шифруванням, проте дослідники з'ясували, що насправді все не так красиво: сервіс дійсно використовує шифрування, але сеансовий ключ клієнтська програма запитує у одного з серверів "системи управління ключами", що входять до складу хмарної інфраструктури Zoom. Ці сервери генерують ключ шифрування і видають його абонентам, які підключаються до конференції – один ключ для всіх учасників конференції.

Передача ключа від сервера до клієнта відбувається через протокол TLS, який також використовується для https. Якщо хтось з учасників конференції користується Zoom на телефоні, копія ключа шифрування також буде передана ще одному серверу-коннектору телефонії Zoom.

Частина серверів системи управління ключами (5 з 73) розташована в Китаї, причому вони використовуються для видачі ключів навіть коли всі учасники конференції знаходяться в інших країнах. З огляду на ступінь залежності від уряду китайських провайдерів, виникають справедливі побоювання, що гіпотетично уряд КНР може перехопити зашифрований трафік, а потім розшифрувати його за допомогою ключів, отриманих від провайдерів в добровільно-примусовому порядку.

Ще одна проблема шифрування в Zoom пов'язана з його практичною реалізацією:

  • хоча в документації вказано, що використовуються 256-бітові ключі AES, їх фактична довжина становить лише 128 біт;
     
  • алгоритм AES працює в режимі ECB – найгіршому з можливих режимів роботи AES, проблема якого в тому, що зашифровані дані частково зберігають структуру оригінальних даних.


Результат шифрування зображення з впровадженням режиму ECB та інших режимів AES / Фото Wikipedia

Zero-day-вразливість за $500 тисяч

В середині квітня були виявлені zero-day-вразливості в клієнтах Zoom для Windows і macOS. RCE-вразливість Windows-клієнта практично відразу ж було виставлено на продаж невідомими за 500 тис. доларів США. За заявою продавців, вона дозволяє віддалено виконати довільний код на Windows-комп'ютері зі встановленим клієнтом Zoom. Для експлуатації цієї помилки атакуючий повинен був подзвонити жертві, або брати участь з нею в одній конференції.

Уразливість в macOS-клієнті не давала таких можливостей, тому її використання в реальних атаках малоймовірно.

Відповіді на неавторизовані XMPP-запити

В кінці квітня в Zoom виявилася ще одна неприємна вразливість. За допомогою спеціально сформованого XMPP-запиту будь-який бажаючий міг отримати список всіх користувачів сервісу, що відносяться до будь-якого домену.

Дві вразливості в macOS-клієнті

Колишній співробітник АНБ Патрік Уордл виявив в Zoom-клієнті для macOS дві вразливості, що дозволяли зловмиснику захопити контроль над пристроєм.

Перша вразливість була пов'язана з тим, що інсталятор Zoom застосовував техніку тіньової установки, яку часто вживають шкідливі програми, щоб встановитися без взаємодії з користувачем. Локальний непривілейованийзловмисник міг впровадити в інсталятор Zoom шкідливий код і отримати привілеї root.

Друга вразливість дозволяла атакуючому впровадити шкідливий код у встановлений Zoom-клієнт і отримати доступ до камери і мікрофону, які вже надані з додатком. При цьому не буде відображатися ніяких додаткових запитів або повідомлень.

UNC-вразливість в Windows-клієнті

Виявлена ​​в клієнті Zoom для Windows вразливість могла привести до витоку облікових даних користувачів через UNC-посилання. При використанні Zoom учасники конференції можуть надсилати один одному текстові повідомлення через інтерфейс чату. Якщо повідомлення містить адресу сайту або ресурсу, він автоматично перетворюється в гіперпосилання, щоб інші учасники могли натиснути на нього і відкрити в браузері за замовчуванням.

Windows-клієнт Zoom перетворює посилання на UNC-шляхи. Якщо відправити в чат посилання виду \\abc.com\img\kitty.jpg, Windows спробує підключитися до цього сайту, використовуючи протокол SMB, щоб відкрити файл kitty.jpg. Віддалений сайт отримає від локального комп'ютера ім'я користувача і NTLM-хеш, який можна зламати, використовуючи утиліту Hashcat або інші інструменти.


Використовуючи цю техніку, можна запустити програму на локальному комп'ютері. Наприклад, за посиланням \127.0.0.1\C$\windows\system32\calc.exe запуститься калькулятор / Фото bleepingcomputer.com

Витоки облікових даних

На початку квітня на одному з хакерських форумів опублікували облікові дані 2300 користувачів Zoom. Дані в базі належать банкам, консультаційним компаніям, освітнім установам, лікарням і розробникам софта. Деякі записи, крім логінів і паролів, містили ідентифікатори зустрічей, імена і ключі їх організаторів.

 

Опубліковані на хакерському форумі дані користувачів Zoom / Фото intsights

Витоку записів відеодзвінків

На початку квітня на YouTube і Vimeo з'явилися у відкритому доступі записи особистих відеодзвінків користувачів Zoom. В їх числі були шкільні уроки, психотерапевтичні сеанси і консультації лікарів, а також корпоративні наради.

Причиною витоку стало те, що сервіс надавав відеоконференціям відкриті ідентифікатори, а організатори конференцій не захищали доступ до них паролем. В результаті будь-який бажаючий міг "злити" записи і використовувати їх на свій розсуд.

Передача даних в Facebook

В кінці березня вибухнув невеликий скандал: iOS-версія Zoom передавала дані в Facebook навіть якщо у користувача не було облікового запису у соціальній мережі.

Додаток Zoom використовував Facebook Graph API – спеціальний програмний інтерфейс, який дозволяє обмінюватися даними з соціальною мережею. Коли користувач відкривав Zoom, відомості про його пристрої, місцезнаходження, часовий пояс і стільниковий оператор разом з унікальним рекламним ідентифікатором відправлялися в Facebook.

Зумбомбінг

Викликане пандемією вибухове зростання кількості користувачів сервісу в поєднанні з не занадто суворими налаштуваннями безпеки конференцій за замовчуванням створив сприятливі умови для різного роду пранків і троллінгу. З'явилися цілі співтовариства зум-тролів, які вриваються на онлайн-уроки і вправляються там в своєрідній "дотепності", включаючи трансляцію свого екрану з грою або порнороликом, розмальовуючи документ на екрані непристойними зображеннями або голосно матюкаючись.

Але проблема значно ширша, ніж просто зрив онлайн-уроків. Журналісти The New York Times знайшли безліч закритих чатів і гілок на форумах Reddit і 4Chan, учасники яких організовують масові кампанії по зриву публічних заходів, онлайн-зустрічей товариств анонімних алкоголіків та інших Zoom-зустрічей. Вони розшукують опубліковані в загальному доступі реквізити для підключення, а потім збирають і розміщують на форумах списки заходів, запрошуючи інших тролів приєднатися до "веселощів".

Реакція компаній і Zoom

З огляду на велику кількість проблем з безпекою, багато компаній і урядових організацій відмовляються від Zoom, забороняючи своїм співробітникам користуватися сервісом. В їх числі Google, Сенат США і Уряд Німеччини, NASA і SpaceX, а також безліч інших компаній і урядів різних країн.

Програм без помилок не буває, тому їх виявлення в Zoom не є чимось незвичайним. Набагато важливіше те, як компанія-розробник реагує на виявлені помилки. На початковому етапі Zoom проявив абсолютно неприйнятну повільність, ігноруючи можливість дізнаватися про проблеми. Однак масові відмови від використання сервісу зіграли свою роль. У своєму інтерв'ю CNN на початку квітня CEO Zoom Ерік Юань сказав, що компанія рухалася надто швидко, тому вони допустили деякі помилки. Засвоївши урок, вони зробили крок назад, щоб зосередитися на конфіденційності та безпеці.

Цим кроком назад стала програма "90 днів до безпеки", що була запущена 1 квітня 2020 року. Відповідно до неї компанія зупиняє роботу над новими функціями і займається тільки усуненням виявлених проблем, а також проводить аудит безпеки коду.

Видимим для користувачів результатом цієї програми став випуск Zoom версії 5.0, в якій крім іншого був проведений апгрейд AES-шифрування до 256 біт, а також реалізовано безліч інших доробок, пов'язаних з безпекою за замовчуванням.

Рекомендації

Використання будь-яких програм вимагає відповідального ставлення до безпеки, і Zoom не виняток.

Правила, які допоможуть захистити ваші онлайн-конференції.

  1. Використовуйте останню версію програмного забезпечення.
     
  2. Завантажуйте установник програми тільки з офіційних ресурсів.
     
  3. Переконайтеся, що ID зустрічі генерується автоматично для повторюваних заходів.
     
  4. Не публікуйте ID зустрічей в інтернеті.
     
  5. Забороніть передачу файлів.
     
  6. Дозвольте показ екрану тільки організатору зустрічі, щоб захиститися від зумбомбінга.
     
  7. Дозволяйте підключення до зустрічей лише авторизованим користувачам.
     
  8. Закрийте можливість нових підключень після початку заходу.
     
  9. Увімкніть для організатора можливість блокувати або видаляти учасників зустрічі.

Заходи, які реалізує розробник Zoom, і дотримання правил "онлайн-гігієни" для відеоконференцій дозволять ефективно та безпечно працювати навіть в умовах пандемії.

Поділитися
Поділитися сюжетом
Джерело матеріала
Сокровища секондхенда: как найти винтажные вещи и почему их стоит приобрести
Знай
2025-10-08T19:51:07Z
Известная украинская певица удивила перенесенной тяжелой операцией: "Пришлось молчать месяц"
TSN
2025-10-08T19:12:26Z
Подкопаева впервые призналась, как ее сын узнал об усыновлении: "Я замерла от услышанного"
TSN
2025-10-08T17:18:42Z
"Игры небесной канцелярии": начались съемки украинской приключенческой комедии режиссера Артура Лермана
Апостроф
2025-10-08T16:24:54Z
"Я не жил в России": Антон Лирник рассказал, где сейчас находится и планирует ли возвращаться в Украину
Апостроф
2025-10-08T16:21:17Z
"На начальной стадии": Ирма Витовская рассказала, что ее прооперировали
Апостроф
2025-10-08T16:12:53Z
Соведущие актрисы Дрю Бэрримор понюхали ее ноги в прямом эфире
Comments UA
2025-10-08T15:57:39Z
Ирма Витовская перенесла операцию и обратилась к украинцам с призывом
Корреспондент
2025-10-08T15:54:14Z
Известная украинская певица попала в страшное ДТП и показалась в карете скорой
TSN
2025-10-08T15:51:39Z
Почему страны ЕС бьют тревогу из-за плана ВОЗ по борьбе с сигаретами
UAToday
2025-10-08T23:24:52Z
Конец угольной эры: возобновляемая энергетика лидирует в производстве электричества
Хвиля
2025-10-08T20:12:06Z
Старт отопительного сезона: повлияют ли атаки россиян на тепло в квартирах
Знай
2025-10-08T19:30:41Z
Курс валют на 9 октября: сколько стоят доллар, евро и злотый
TSN
2025-10-08T19:27:52Z
Один вид мяса в Украине стремительно дорожает - за год цены взлетели на 60%
GlavRed
2025-10-08T19:18:51Z
В Украине резкий рост импорта: из каких стран поступает больше товаров
Апостроф
2025-10-08T19:18:01Z
Укрзализныця ответила на претензии Даши Трегубовой насчет туалетов
Комсомольская правда
2025-10-08T19:01:09Z
Банк Raiffeisen продолжает искать варианты продажи российских активов
Апостроф
2025-10-08T18:51:57Z
К 2030 году Россия может потерять почти половину гражданского авиапарка — разведка
Апостроф
2025-10-08T18:38:33Z
Кремль вербует наемников в странах Глобального Юга — ЦПД
ZN UA
2025-10-08T23:09:40Z
Трамп вновь выразил уверенность, что ему удастся закончить войну в Украине
TSN
2025-10-08T22:36:13Z
В Германии отменили получение гражданства по ускоренной процедуре
ZN UA
2025-10-08T22:15:19Z
Удары участятся: угроза новых атак Рф на энергообъекты
Знай
2025-10-08T20:30:23Z
Российский пропагандист признал: война с Украиной — большая ошибка. ВИДЕО
Новости Украины
2025-10-08T20:21:50Z
В Раде хватаются за голову: решение Кабмина назвали наиболее преступным во время войны
Comments UA
2025-10-08T20:12:25Z
Сверхсекретный самолет-разведчик США заметили на территории России: что известно
Comments UA
2025-10-08T20:06:35Z
Переговоры о мире: Трамп анонсировал визит на Ближний Восток
Апостроф
2025-10-08T19:57:59Z
Украина удерживает оборону, внедряет инновации и имеет шансы победить в войне на истощение, - The Atlantic
Новости Украины
2025-10-08T19:57:04Z
В Киеве задержали гражданина Молдовы, который по заказу спецслужб РФ совершал диверсии
Украинская правда
2025-10-08T20:45:32Z
ИИ помог поймать предполагаемого преступника: как ChatGPT "сдал" подозреваемого в смертельном пожаре
TSN
2025-10-08T20:06:01Z
В Хмельницком медик подозревается в смерти пациентки после хирургического вмешательства
Апостроф
2025-10-08T19:42:07Z
Сдетонировала взрывчатка: в полиции Киева уточнили данные о подрыве человека в квартире
Апостроф
2025-10-08T19:36:29Z
Шокирующая смерть во время прохождения ВЛК
Comments UA
2025-10-08T19:18:40Z
На Львовщине военный в СОЧ пришел в магазин с гранатой
Корреспондент
2025-10-08T19:18:22Z
Удар РФ по Сумам: ГСЧС ликвидировала все очаги горения
Апостроф
2025-10-08T18:30:53Z
Удар по нефтебазе в Прилуках: бушует сильный пожар
Корреспондент
2025-10-08T18:28:27Z
В Почаевской лавре проводят обыски по подозрению в мошенничестве
Украинская правда
2025-10-08T17:51:59Z
Украинцы смогут бронировать и закреплять номера за авто через "Дію"
UAToday
2025-10-08T23:24:39Z
Армия РФ получила новый приказ по фронту: Зеленский раскрыл детали
UAToday
2025-10-08T23:24:17Z
Услуги в "Резерв+" будут временно недоступны: что известно
Апостроф
2025-10-08T23:24:06Z
День ангела 9 октября: кого и как поздравлять с именинами
TSN
2025-10-08T21:21:19Z
Военные возмущены несправедливостью: указали на самую большую проблему мобилизации
Comments UA
2025-10-08T21:12:28Z
Без суржика: как на украинском будет обувь
ZN UA
2025-10-08T21:03:46Z
9 октября 2025 года: апостола Иакова - что сегодня нельзя делать
Фокус
2025-10-08T21:00:31Z
Выплаты от 6000 гривен: кому из украинцев увеличат помощь на ребенка
Хвиля
2025-10-08T19:45:44Z
Украинцы смогут разводиться онлайн через Дию — Правительство
Апостроф
2025-10-08T19:42:47Z
Названа распространенная привычка, которая приводит к бессоннице: это делают почти все
Comments UA
2025-10-08T21:39:18Z
Восемь чашек этих напитков ежедневно снижают риск ранней смерти: о чем идет речь
TSN
2025-10-08T21:21:41Z
Рак быстро захватывает мир: в каких странах больше всего онкобольных и на каком месте Украина
Comments UA
2025-10-08T21:03:36Z
Украину охватила новая волна эпидемии
Comments UA
2025-10-08T18:57:30Z
Симптомы, с которыми не следует идти в сад или школу: советы врача
Знай
2025-10-08T16:21:05Z
Паника и самолечение: почему нельзя гуглить свои симптомы болезни
Знай
2025-10-08T15:51:57Z
Фармацевтическая удавка: СМИ объяснили, как «Дарница» сама себя наказала
Знай
2025-10-08T14:24:19Z
Сушка одежды даже без отопления: гениальный трюк удивит своей простотой
GlavRed
2025-10-08T13:27:20Z
Врач назвала 4 точных сигнала, предупреждающих о сердечном приступе: их не стоит игнорировать
UAToday
2025-10-08T12:12:48Z
Монета по цене бюджетного авто: редкие 2 копейки продают за тысячи долларов
Знай
2025-10-08T18:21:02Z
Škoda представила юбилейную Fabia 130
Корреспондент
2025-10-08T17:42:09Z
Водители могут получить штраф просто сидящие в машине: о чем следует помнить
Знай
2025-10-08T16:51:58Z
В Макларен накипают страсти: Норрис и Пиастри в эпицентре конфликта
Корреспондент
2025-10-08T14:21:42Z
Электрокары, беспилотники и скутеры: Suzuki покажет десяток оригинальных моделей
Фокус
2025-10-08T13:57:28Z
Штрафы за тюнинг и не только: что запрещено и какие изменения наказываются
Comments UA
2025-10-08T13:03:28Z
Спрос на авто с пробегом подскочил: какие авто стали чаще ввозить из-за границы
Хвиля
2025-10-08T05:12:59Z
Водителям отменяют штрафы за превышение скорости: когда показы радара незаконны
Знай
2025-10-08T02:51:17Z
Mercedes прекращает производство своего самого доступного электромобиля
Корреспондент
2025-10-07T18:42:36Z
Ситуация на фронте на вечер 8 октября 2025 года
UAToday
2025-10-08T23:24:14Z
Враг атакует Украину БПЛА: направление движения
TSN
2025-10-08T21:33:31Z
Неподготовленных бойцов рембата отправили на боевые позиции вместо копания окопов — заявление военных
TSN
2025-10-08T21:21:00Z
Десантники показали «зомби-штурм» россиян у Покровска
ZN UA
2025-10-08T20:45:27Z
"Шахеды" начали уклоняться: россияне нашли способ противодействия дронам-перехватчикам ВСУ
TSN
2025-10-08T20:36:43Z
Ад в лесах под Северском: военный прокомментировал ситуацию
Comments UA
2025-10-08T20:15:53Z
Потерял ногу: украинский коллега погибшего на фронте французского журналиста вышел на связь
Фокус
2025-10-08T20:06:56Z
Дальнобойщик корректировал российские удары по Украине
Новости Украины
2025-10-08T19:42:35Z
Работа для пенсионеров в Николаевской области: где можно зарабатывать от 40 тысяч гривен
Политека
2025-10-08T19:30:10Z
Сода, перекись и моющее средство: как сделать пятновыводитель своими руками
Знай
2025-10-08T20:51:27Z
Существует 5 психологических принципов богатых людей, о которых мало кто знает
TSN
2025-10-08T17:18:15Z
Мало кто знает, как хранить бананы: существует один секрет
TSN
2025-10-08T17:06:27Z
Пять знаков Зодиака в октябре получат неожиданный отдых
Comments UA
2025-10-08T16:33:07Z
Нагар сам отскакивает: простой способ очистить кастрюлю за 10 минут без трения — две ложки и три капли этих средств
TSN
2025-10-08T16:06:44Z
Что вы увидели первым: психологический тест, раскрывающий главные черты вашей личности
TSN
2025-10-08T16:06:06Z
Секретный туннель императора под Колизеем: как он выглядит и кто туда может попасть
Фокус
2025-10-08T15:57:37Z
Кружки и внешкольные занятия в Украине: цены, популярные направления и советы для родителей
Комсомольская правда
2025-10-08T15:15:29Z
Сорняки как индикаторы состояния почвы: они расскажут, когда нужно подпитать его пеплом, когда осушить, а когда разрыхлить
TSN
2025-10-08T14:09:46Z
Технология морских дронов уперлась в проблему, которую не могут решить, - The Telegraph
UAToday
2025-10-08T23:24:28Z
Сокровища, пылящиеся: сколько могут стоить "забытые" гаджеты
TSN
2025-10-08T21:27:16Z
Тест на личность: раскройте свои сильные стороны в карьере
TSN
2025-10-08T21:21:19Z
Как не потерять лицо: Обзор Silent Hill f
GameMag
2025-10-08T21:00:43Z
В Украине нашли очень редкий гриб "Пальцы дьявола" — его вид поражает
TSN
2025-10-08T19:12:48Z
Самое экстремальное событие на Земле: как Красное море высохло и вновь наполнилось
TSN
2025-10-08T19:12:24Z
Китай впервые в мире запустил коммерческий подводный дата-центр
Корреспондент
2025-10-08T19:06:46Z
Пришельцы или комета: таинственный объект 3I/ATLAS разжег споры на фоне молчания NASA
TSN
2025-10-08T18:49:57Z
Чем Xbox Game Pass порадует в октябре 2025 — Microsoft раскрыла первую волну игр для подписчиков на консолях Xbox и ПК
GameMag
2025-10-08T17:48:17Z
Эмполи из Серии А принял в команду U-19 украинского полузащитника
Корреспондент
2025-10-08T20:45:35Z
Шахтер посыпает голову пеплом: 1:4 в игре с ЛНЗ как рекорд неудачи
Корреспондент
2025-10-08T18:15:21Z
Ярмоленко пешком ходит, Бражко обыграли: Саленко разнес "Динамо" после провала в Лиге Конференций
Знай
2025-10-08T17:51:16Z
Супертяжеловес Стальченко проведет бой 11 октября в Польше
Корреспондент
2025-10-08T16:12:53Z
Сборная Украины понесла еще одну потерю перед матчем против Исландии
ZN UA
2025-10-08T15:24:03Z
Украинский волейболист отказался пожимать руки россиянам в Японии
ZN UA
2025-10-08T15:09:27Z
Ричард Комми проведет второй бой после сентябрьского
Корреспондент
2025-10-08T13:36:34Z
Турецкий Фенербахче высказывается за приобретение украинца Артема Довбика
Корреспондент
2025-10-08T13:09:18Z
Футбольный миллиардер: Роналду установил новый рекорд
Апостроф
2025-10-08T12:24:43Z