Уязвимости Zoom — программные недоработки, снижающие степень конфиденциальности данных. Производитель утверждает, что конфиденциальные сведения надежно защищены, в том числе с помощью 256-битного TSL-шифрования. Но с ростом популярности программы открывается все больше проблем с безопасностью применения Zoom. Рассмотрим их подробнее.
Слив информации
В марте 2020 года появилась информации, что сведения о пользователях Zoom на Айфонах передаются в одну из социальных сетей. Это даже не уязвимость, а намеренное действие разработчиков, касающееся всех владельцев таких аппаратов, в том числе не имеющих аккаунта в социальных сетях.
Администрация Зум делится данными о часовом поясе, модели смартфона, операторе, рекламном идентификаторе и т. д. Zoom сливает данные, которые в дальнейшем можно использовать для таргетированных рекламных объявлений. После раскрутки скандала разработчики заявили об удалении этого кода, но на них уже успели подать в суд.
Плохое шифрование видео
Очередная проблема безопасности приложения Zoom также обнаружилась в марте. В частности, появилась информации об отсутствии в программе сквозного шифрования E2E, считающегося наиболее надежным в Сети. На официальном ресурсе программы указано о применении инструмента, но на практике используется только TSL-шифрование. Его недостаток в том, что информация кодируется не между пользователями, а между клиентом и сервером. В результате компания имеет доступ к аудио и видео, что позволяет ей «шпионить».
В свою очередь, разработчики Zoom заявили, что отсутствие сквозного шифрования касается только видео и аудио. При этом максимально защищены чаты клиентов, и у компании нет ключей для их расшифровки.
Слухи об уязвимостях для Windows и MacOS
Снова-таки в марте появилась информация о проблемах с безопасностью — двух уязвимостях, позволяющих шпионить за пользователями (для Виндовс и Мак ОС). При этом продавец попросил за передачу информации 500 000 долларов. Со временем в компании Zoom заявили, что такая информация не подтверждена.
Внедрение UNC в чат
В клиенте Зум обнаружена еще одна уязвимость, позволяющая внедрять UNC-пути в опцию чата для похищения учетных данных клиентов. Возможности программы позволяют людям общаться, отправлять сообщения и другие данные. При использовании чата конференции все URL адреса преобразуются в гиперссылки, что позволяет другим участникам нажимать на них и переходить на веб-страницу.
Уязвимость состоит в том, что Zoom преобразует пути UNC Виндовс в интерактивные ссылки в сообщениях чата. После нажатия на ссылку UNC Виндовс делает попытку подключиться к ресурсу с помощью SMB-протокола для открытия удаленного файла. При этом Виндовс направляет логин и пароль хэш NTML, которые легко взломать с помощью общедоступных в Интернете программ, к примеру, Hashcat. Из-за такой уязвимости Zoom пароль пользователя может быть раскрыт.
Кроме кражи личных данных, UNC-инъекции позволяет злоумышленникам использовать путь девайса дисковой ОС для запуска программы без запроса клиентов. Разработчики Zoom признают такую уязвимость и обещают исправить ее в ближайшее время.
Дополнительные проблемы
Кроме рассмотренных выше уязвимостей, можно выделить еще ряд слабых мест программы. Приведем основные:
- Возможность подбора идентификаторов с последующим получением доступа к конференции. В последних версиях эта проблема устранена, благодаря замене кода на более надежную версию.
- Демонстрация порнографии в эфире во время трансляции. При этом выявить злоумышленника, когда конференции участвует большое количество людей, крайне трудно.
- Попадание конфиденциальной информации в третьи руки. Еще одна уязвимость Зум — вероятная утечка данных пользователей. Речь идет о фото, именах, почтовых ящиках и т. д.
- Хранение кодов в Китае. Применяемые ключи шифрования иногда отправляются на серверы в КНР, что теоретически может привести к давлению со стороны властей страны.
- Видео удаляется не до конца. Злоумышленники могут запустить поиск, а впоследствии загрузить и посмотреть чужое видео в течение двух-трех часов после удаления.
- Продажа аккаунтов. Более полумиллиона профилей Zoom можно купить в Даркнете. В начале этого года хакеры выставили на продажу логины и пароли аккаунтов, идентификаторы и пароли собраний. Однако как потом показала проверка, многие из них уже устарели и потеряли актуальность. В целях безопасности мы не рекомендуем использовать один и тот же пароль к нескольким конференциям.
Имеются и другие проблемы, к примеру, загрузка на MacOS без участия пользователя, связь через посредника и другие.
В завершение отметим, что многие уязвимости Zoom уже устранены, но разработчикам еще есть, над чем поработать. Если пользователей не устраивает такое положение, можно найти альтернативу, к примеру, Дискорд, Скайп или другие программы, но не стоит забывать, что уязвимости есть везде.