ESET: 5 probleme de confidenţialitate şi securitate pe care aplicaţia Zoom trebuie să le rezolve

Aplicaţia Zoom folosită de cabinetul britanic. FOTO Boris Johnson / Twitter

Din cauza pandemiei COVID-19, un număr foarte mare de persoane lucrează de acasă şi asta a făcut ca popularitatea aplicaţiilor de videoconferinţă (folosite pentru serviciu, educaţie şi timp liber) să crească foarte mult.

Dintre toate aplicaţiile de comunicare, care au cunoscut o popularitate nesperată peste noapte, probabil niciunul nu iese în evidenţă la fel de mult ca Zoom.

Cererea explozivă, atât în rândul utilizatorilor casnici cât şi în rândul companiilor, a contribuit la dezvăluirea unor provocări de confidenţialitate şi de securitate cu care se confruntă platforma, care este folosită acum chiar şi pentru întâlnirile zilnice ale guvernului britanic (deşi, în mod interesant, Ministerul Apărării din Marea Britanie le interzice angajaţilor săi să folosească aplicaţia).

Aplicaţia se confruntă cu un val de critici, din diferite surse, inclusiv din partea avocaţilor în domeniul confidenţialităţii, a experţilor în securitate, a mai multor avocaţi generali ai Statelor Unite, a unui parlamentar american şi a agenţiei FBI. Veştile rele s-au acumulat în ultimele zile, fapt ce a determinat compania să formuleze recent un raspuns.

Pe 1 aprilie, fondatorul şi CEO-ul companiei, Eric S. Yuan, şi-a cerut scuze pentru problemele raportate şi a prezentat măsurile luate pentru îmbunătăţirea securităţii şi a confidenţialităţii Zoom. El a anunţat, de asemenea, o îngheţare timp de 90 de zile a oricăror eforturi derulate în direcţia îmbunătăţirilor funcţiilor din produs, adăugând că Zoom îşi mută toate resursele de inginerie pentru a „se concentra pe cele mai acute probleme de încredere, siguranţă şi confidenţialitate”.

Tomas Foltyn, Security Writer la ESET, enunţă cinci problemele cheie pe care Zoom va trebuit să le rezolve:

• politica de confidenţialitate a Zoom nu a menţionat că versiunea iOS a aplicaţiei sale trimite date analitice către Facebook, chiar şi atunci când utilizatorii nu au un cont Facebook, potrivit unui raport Vice publicat în prima săptămână din aprilie. Compania a recunoscut problema şi a eliminat kit-ul de dezvoltare software Facebook (SDK) pentru iOS. Zoom se confruntă în continuare cu un proces în California.

• în ciuda luării de poziţie iniţiale a companiei, întâlnirile video şi audio ale aplicaţiei nu acceptă criptare end-to-end, potrivit cercetărilor realizate de The Intercept. Zoom şi-a cerut ulterior scuze şi a clarificat că foloseşte criptarea de tip transport cunoscută sub numele de TLS. Diferenţa majoră între criptarea end-to-end şi cea de tip TLS este că aceasta din urmă nu criptează comunicările utilizatorilor şi pot fi accesate în continuare de către companie.
• aplicaţia a dovedit, de asemenea, că are mai multe vulnerabilităţi de securitate, deşi toate au fost remediate în timp scurt. Clientul pentru sistemul de operare Windows a fost considerat vulnerabil în faţa unui atac UNC path injection, care ar putea expune datele de autentificare ale utilizatorilor Windows şi poate duce chiar la executarea unor comenzi abuzive pe dispozitivele lor. Alte două vulnerabilităţi, de data aceasta afectând clientul aplicaţiei pentru sistemul MacOS, ar fi putut permite unui atacator să preia local controlul asupra unui computer vulnerabil.
•  compania a renunţat, de asemenea, la opţiunea „urmărirea participanţilor”, o caracteristică ce oferea posibilitatea gazdei unei întâlniri să verifice dacă participanţii erau de fapt atenţi atunci când gazda era în modul de partajare al ecranului.
• FBI a lansat, de asemenea, un avertisment privind un fenomen numit „Zoom-bombing”, în urma mai multor rapoarte conform cărora persoane răuvoitoare invadau întâlnirile private şi cursurile şcolare pentru a afişa imagini neadecvate.

Aceste aspecte au potenţialul să afecteze un număr mare de oameni, pentru că platforma a înregistrat o creştere de la 10 milioane, la 200 de milioane de utilizatori zilnici, în ultimele trei luni. Chiar prin propria declaraţia, CEO-ului companiei, Eric S. Yuan, recunoştea că a fost copleşit de acest succes care nu a fost anticipat.

„Avem acum un număr mult mai mare de utilizatori care foloseşte produsul nostru într-o multitudine de moduri neaşteptate, creându-ne astfel provocări pe care nu le-am anticipat atunci când a fost concepută platforma”, a declarat acesta.

FOTO  Eric S Yuan / Facebook

Cum să fiţi în siguranţă

Chiar şi în această perioadă dominată de activităţi derulate de la distanţă (şi nu numai când vine vorba de videoconferinţe), nu ar trebui să trecem cu vederea aspectul confidenţialităţii şi al securităţii datelor. Oricât de bine arată din punct de vedere estetic şi indiferent câte funcţii oferă, un program software care partajeaza informaţii via internet deschide posibile oportunităţi pentru noi ameninţări şi, odată cu acestea, responsabilităţi suplimentare. 

Printre cele mai eficiente măsuri pe care le puteţi lua pentru a vă proteja securitatea şi confidenţialitatea atunci când utilizaţi Zoom se numără:

• folosirea parolelor şi / sau verificarea participanţilor la întâlnire cu ajutorul funcţiei „Waiting Room” pe care Zoom o pune la dispoziţie.
• limitarea partajării ecranului cu gazda.
• folosirea celei mai recente versiuni a aplicaţiei Zoom.
• evitarea partajării linkurilor sau a ID-urilor de întâlnire pe reţelele sociale.
• utilizarea ID-urilor de întâlnire, mai degrabă decât a link-urilor atunci când invitaţi alţi participanţi, pentru că a fost identificată o creştere a domeniilor false care imită platforma Zoom, prin care infractorii cibernetici încearcă să valorifice succesul neaşteptat al aplicaţiei.