Уязвимости Zoom — программные недоработки, снижающие степень конфиденциальности данных. Производитель утверждает, что конфиденциальные сведения надежно защищены, в том числе с помощью 256-битного TSL-шифрования. Но с ростом популярности программы открывается все больше проблем с безопасностью применения Zoom. Рассмотрим их подробнее.

Слив информации

В марте 2020 года появилась информации, что сведения о пользователях Zoom на Айфонах передаются в одну из социальных сетей. Это даже не уязвимость, а намеренное действие разработчиков, касающееся всех владельцев таких аппаратов, в том числе не имеющих аккаунта в социальных сетях.

Администрация Зум делится данными о часовом поясе, модели смартфона, операторе, рекламном идентификаторе и т. д. Zoom сливает данные, которые в дальнейшем можно использовать для таргетированных рекламных объявлений. После раскрутки скандала разработчики заявили об удалении этого кода, но на них уже успели подать в суд.

Плохое шифрование видео

Очередная проблема безопасности приложения Zoom также обнаружилась в марте. В частности, появилась информации об отсутствии в программе сквозного шифрования E2E, считающегося наиболее надежным в Сети. На официальном ресурсе программы указано о применении инструмента, но на практике используется только TSL-шифрование. Его недостаток в том, что информация кодируется не между пользователями, а между клиентом и сервером. В результате компания имеет доступ к аудио и видео, что позволяет ей «шпионить».

В свою очередь, разработчики Zoom заявили, что отсутствие сквозного шифрования касается только видео и аудио. При этом максимально защищены чаты клиентов, и у компании нет ключей для их расшифровки.

Слухи об уязвимостях для Windows и MacOS

Снова-таки в марте появилась информация о проблемах с безопасностью — двух уязвимостях, позволяющих шпионить за пользователями (для Виндовс и Мак ОС). При этом продавец попросил за передачу информации 500 000 долларов. Со временем в компании Zoom заявили, что такая информация не подтверждена.

Внедрение UNC в чат

В клиенте Зум обнаружена еще одна уязвимость, позволяющая внедрять UNC-пути в опцию чата для похищения учетных данных клиентов. Возможности программы позволяют людям общаться, отправлять сообщения и другие данные. При использовании чата конференции все URL адреса преобразуются в гиперссылки, что позволяет другим участникам нажимать на них и переходить на веб-страницу.

Уязвимость состоит в том, что Zoom преобразует пути UNC Виндовс в интерактивные ссылки в сообщениях чата. После нажатия на ссылку UNC Виндовс делает попытку подключиться к ресурсу с помощью SMB-протокола для открытия удаленного файла. При этом Виндовс направляет логин и пароль хэш NTML, которые легко взломать с помощью общедоступных в Интернете программ, к примеру, Hashcat. Из-за такой уязвимости Zoom пароль пользователя может быть раскрыт.

Кроме кражи личных данных, UNC-инъекции позволяет злоумышленникам использовать путь девайса дисковой ОС для запуска программы без запроса клиентов. Разработчики Zoom признают такую уязвимость и обещают исправить ее в ближайшее время.

Дополнительные проблемы

Кроме рассмотренных выше уязвимостей, можно выделить еще ряд слабых мест программы. Приведем основные:

  1. Возможность подбора идентификаторов с последующим получением доступа к конференции. В последних версиях эта проблема устранена, благодаря замене кода на более надежную версию.
  2. Демонстрация порнографии в эфире во время трансляции. При этом выявить злоумышленника, когда конференции участвует большое количество людей, крайне трудно.
  3. Попадание конфиденциальной информации в третьи руки. Еще одна уязвимость Зум — вероятная утечка данных пользователей. Речь идет о фото, именах, почтовых ящиках и т. д.
  4. Хранение кодов в Китае. Применяемые ключи шифрования иногда отправляются на серверы в КНР, что теоретически может привести к давлению со стороны властей страны.
  5. Видео удаляется не до конца. Злоумышленники могут запустить поиск, а впоследствии загрузить и посмотреть чужое видео в течение двух-трех часов после удаления.
  6. Продажа аккаунтов. Более полумиллиона профилей Zoom можно купить в Даркнете. В начале этого года хакеры выставили на продажу логины и пароли аккаунтов, идентификаторы и пароли собраний. Однако как потом показала проверка, многие из них уже устарели и потеряли актуальность. В целях безопасности мы не рекомендуем использовать один и тот же пароль к нескольким конференциям.

Имеются и другие проблемы, к примеру, загрузка на MacOS без участия пользователя, связь через посредника и другие.

В завершение отметим, что многие уязвимости Zoom уже устранены, но разработчикам еще есть, над чем поработать. Если пользователей не устраивает такое положение, можно найти альтернативу, к примеру, Дискорд, Скайп или другие программы, но не стоит забывать, что уязвимости есть везде.

Уязвимости и безопасность

Есть вопросы? Спрашивайте!

Ваш адрес email не будет опубликован. Обязательные поля помечены *

У Вас есть вопросы по пользованию Zoom?

Задайте свой вопрос нашим редакторам и мы ответим на него в самые кратчайшие сроки

Задать свой вопрос