Zoom: які є ризики та як безпечно використовувати додаток

Деякі організації заборонили використання сервісу для вирішення службових завдань, але залишилося достатньо тих, хто продовжує зумитись, оскільки гідних альтернатив не так багато. У цій статті з'ясуємо, наскільки великі ризики тих, хто зберігає вірність Zoom, не звертаючи уваги на застереження.

Хіт-парад багів Zoom

За останні кілька місяців публікації про критичні вразливості в Zoom з'являлися в стрічках новин чи не частіше, ніж повідомлення про помилки Windows. Наведемо гучні проблеми:

1. питання до шифрування і розшифровки записів конференцій;
    
2. zero-day-уразливість вартістю 500 тис. доларів США;
    
3. неавторизовані XMPP-запити;
    
4. уразливості в macOS-клієнті, які надавали доступ до камери і мікрофону;
    
5. вразливість в Windows-клієнті, яка давала можливість викрасти логін і пароль користувача через посилання і запустити будь-який додаток;
    
6. передача даних в LinkedIn і Facebook;
    
7. витік призначених для користувача даних;
    
8. витік сотень тисяч записів відеоконференцій і їх публікація на YouTube і Vimeo;
    
9. зумбомбінг.

Питання до шифрування

На сайті Zoom декларується, що всі відеодзвінки захищені end-2-end-шифруванням, проте дослідники з'ясували, що насправді все не так красиво: сервіс дійсно використовує шифрування, але сеансовий ключ клієнтська програма запитує у одного з серверів "системи управління ключами", що входять до складу хмарної інфраструктури Zoom. Ці сервери генерують ключ шифрування і видають його абонентам, які підключаються до конференції – один ключ для всіх учасників конференції.

Передача ключа від сервера до клієнта відбувається через протокол TLS, який також використовується для https. Якщо хтось з учасників конференції користується Zoom на телефоні, копія ключа шифрування також буде передана ще одному серверу-коннектору телефонії Zoom.

Частина серверів системи управління ключами (5 з 73) розташована в Китаї, причому вони використовуються для видачі ключів навіть коли всі учасники конференції знаходяться в інших країнах. З огляду на ступінь залежності від уряду китайських провайдерів, виникають справедливі побоювання, що гіпотетично уряд КНР може перехопити зашифрований трафік, а потім розшифрувати його за допомогою ключів, отриманих від провайдерів в добровільно-примусовому порядку.

Ще одна проблема шифрування в Zoom пов'язана з його практичною реалізацією:

• хоча в документації вказано, що використовуються 256-бітові ключі AES, їх фактична довжина становить лише 128 біт;
   
• алгоритм AES працює в режимі ECB – найгіршому з можливих режимів роботи AES, проблема якого в тому, що зашифровані дані частково зберігають структуру оригінальних даних.

Результат шифрування зображення з впровадженням режиму ECB та інших режимів AES / Фото Wikipedia

Zero-day-вразливість за $500 тисяч

В середині квітня були виявлені zero-day-вразливості в клієнтах Zoom для Windows і macOS. RCE-вразливість Windows-клієнта практично відразу ж було виставлено на продаж невідомими за 500 тис. доларів США. За заявою продавців, вона дозволяє віддалено виконати довільний код на Windows-комп'ютері зі встановленим клієнтом Zoom. Для експлуатації цієї помилки атакуючий повинен був подзвонити жертві, або брати участь з нею в одній конференції.

Уразливість в macOS-клієнті не давала таких можливостей, тому її використання в реальних атаках малоймовірно.

Відповіді на неавторизовані XMPP-запити

В кінці квітня в Zoom виявилася ще одна неприємна вразливість. За допомогою спеціально сформованого XMPP-запиту будь-який бажаючий міг отримати список всіх користувачів сервісу, що відносяться до будь-якого домену.

Дві вразливості в macOS-клієнті

Колишній співробітник АНБ Патрік Уордл виявив в Zoom-клієнті для macOS дві вразливості, що дозволяли зловмиснику захопити контроль над пристроєм.

Перша вразливість була пов'язана з тим, що інсталятор Zoom застосовував техніку тіньової установки, яку часто вживають шкідливі програми, щоб встановитися без взаємодії з користувачем. Локальний непривілейованийзловмисник міг впровадити в інсталятор Zoom шкідливий код і отримати привілеї root.

Друга вразливість дозволяла атакуючому впровадити шкідливий код у встановлений Zoom-клієнт і отримати доступ до камери і мікрофону, які вже надані з додатком. При цьому не буде відображатися ніяких додаткових запитів або повідомлень.

UNC-вразливість в Windows-клієнті

Виявлена ​​в клієнті Zoom для Windows вразливість могла привести до витоку облікових даних користувачів через UNC-посилання. При використанні Zoom учасники конференції можуть надсилати один одному текстові повідомлення через інтерфейс чату. Якщо повідомлення містить адресу сайту або ресурсу, він автоматично перетворюється в гіперпосилання, щоб інші учасники могли натиснути на нього і відкрити в браузері за замовчуванням.

Windows-клієнт Zoom перетворює посилання на UNC-шляхи. Якщо відправити в чат посилання виду \\abc.com\img\kitty.jpg, Windows спробує підключитися до цього сайту, використовуючи протокол SMB, щоб відкрити файл kitty.jpg. Віддалений сайт отримає від локального комп'ютера ім'я користувача і NTLM-хеш, який можна зламати, використовуючи утиліту Hashcat або інші інструменти.

Використовуючи цю техніку, можна запустити програму на локальному комп'ютері. Наприклад, за посиланням \127.0.0.1\C$\windows\system32\calc.exe запуститься калькулятор / Фото bleepingcomputer.com

Витоки облікових даних

На початку квітня на одному з хакерських форумів опублікували облікові дані 2300 користувачів Zoom. Дані в базі належать банкам, консультаційним компаніям, освітнім установам, лікарням і розробникам софта. Деякі записи, крім логінів і паролів, містили ідентифікатори зустрічей, імена і ключі їх організаторів.

Опубліковані на хакерському форумі дані користувачів Zoom / Фото intsights

Витоку записів відеодзвінків

На початку квітня на YouTube і Vimeo з'явилися у відкритому доступі записи особистих відеодзвінків користувачів Zoom. В їх числі були шкільні уроки, психотерапевтичні сеанси і консультації лікарів, а також корпоративні наради.

Причиною витоку стало те, що сервіс надавав відеоконференціям відкриті ідентифікатори, а організатори конференцій не захищали доступ до них паролем. В результаті будь-який бажаючий міг "злити" записи і використовувати їх на свій розсуд.

Передача даних в Facebook

В кінці березня вибухнув невеликий скандал: iOS-версія Zoom передавала дані в Facebook навіть якщо у користувача не було облікового запису у соціальній мережі.

Додаток Zoom використовував Facebook Graph API – спеціальний програмний інтерфейс, який дозволяє обмінюватися даними з соціальною мережею. Коли користувач відкривав Zoom, відомості про його пристрої, місцезнаходження, часовий пояс і стільниковий оператор разом з унікальним рекламним ідентифікатором відправлялися в Facebook.

Зумбомбінг

Викликане пандемією вибухове зростання кількості користувачів сервісу в поєднанні з не занадто суворими налаштуваннями безпеки конференцій за замовчуванням створив сприятливі умови для різного роду пранків і троллінгу. З'явилися цілі співтовариства зум-тролів, які вриваються на онлайн-уроки і вправляються там в своєрідній "дотепності", включаючи трансляцію свого екрану з грою або порнороликом, розмальовуючи документ на екрані непристойними зображеннями або голосно матюкаючись.

Але проблема значно ширша, ніж просто зрив онлайн-уроків. Журналісти The New York Times знайшли безліч закритих чатів і гілок на форумах Reddit і 4Chan, учасники яких організовують масові кампанії по зриву публічних заходів, онлайн-зустрічей товариств анонімних алкоголіків та інших Zoom-зустрічей. Вони розшукують опубліковані в загальному доступі реквізити для підключення, а потім збирають і розміщують на форумах списки заходів, запрошуючи інших тролів приєднатися до "веселощів".

Реакція компаній і Zoom

З огляду на велику кількість проблем з безпекою, багато компаній і урядових організацій відмовляються від Zoom, забороняючи своїм співробітникам користуватися сервісом. В їх числі Google, Сенат США і Уряд Німеччини, NASA і SpaceX, а також безліч інших компаній і урядів різних країн.

Програм без помилок не буває, тому їх виявлення в Zoom не є чимось незвичайним. Набагато важливіше те, як компанія-розробник реагує на виявлені помилки. На початковому етапі Zoom проявив абсолютно неприйнятну повільність, ігноруючи можливість дізнаватися про проблеми. Однак масові відмови від використання сервісу зіграли свою роль. У своєму інтерв'ю CNN на початку квітня CEO Zoom Ерік Юань сказав, що компанія рухалася надто швидко, тому вони допустили деякі помилки. Засвоївши урок, вони зробили крок назад, щоб зосередитися на конфіденційності та безпеці.

Цим кроком назад стала програма "90 днів до безпеки", що була запущена 1 квітня 2020 року. Відповідно до неї компанія зупиняє роботу над новими функціями і займається тільки усуненням виявлених проблем, а також проводить аудит безпеки коду.

Видимим для користувачів результатом цієї програми став випуск Zoom версії 5.0, в якій крім іншого був проведений апгрейд AES-шифрування до 256 біт, а також реалізовано безліч інших доробок, пов'язаних з безпекою за замовчуванням.

Рекомендації

Використання будь-яких програм вимагає відповідального ставлення до безпеки, і Zoom не виняток.

Правила, які допоможуть захистити ваші онлайн-конференції.

1. Використовуйте останню версію програмного забезпечення.
    
2. Завантажуйте установник програми тільки з офіційних ресурсів.
    
3. Переконайтеся, що ID зустрічі генерується автоматично для повторюваних заходів.
    
4. Не публікуйте ID зустрічей в інтернеті.
    
5. Забороніть передачу файлів.
    
6. Дозвольте показ екрану тільки організатору зустрічі, щоб захиститися від зумбомбінга.
    
7. Дозволяйте підключення до зустрічей лише авторизованим користувачам.
    
8. Закрийте можливість нових підключень після початку заходу.
    
9. Увімкніть для організатора можливість блокувати або видаляти учасників зустрічі.

Заходи, які реалізує розробник Zoom, і дотримання правил "онлайн-гігієни" для відеоконференцій дозволять ефективно та безпечно працювати навіть в умовах пандемії.