09.00.47 Zoom фактично не забезпечує наскрізне шифрування, а також допускає витік даних користувачів через помилку угруповання доменів | |
 Додаток для проведення конференцій Zoom виявився далеко не найбезпечнішим. По-перше, в ньому не виявилося підтримки наскрізного шифрування. А по-друге, сервіс допустив витік інформації деяких користувачів. Розглянемо кожен епізод більш докладно.
На своєму сайті Zoom вказує на підтримку наскрізного шифрування для конференцій. Однак за даними видання The Intercept, ця заява не зовсім відповідає дійсності. На питання про те, чи забезпечуються відео-конференції на платформі наскрізним шифруванням, представник Zoom відповів, що «В даний час неможливо включити шифрування E2E для відео-конференцій в Zoom». Zoom використовує шифрування TLS - той же стандарт, який застосовується веб-браузерами для захисту з'єднання з сайтами через протокол HTTPS. На практиці це означає, що дані зашифровані між користувачем і серверами Zoom, подібно до вмісту Gmail або Facebook. Але термін наскрізне шифрування зазвичай відноситься до захисту передачі контенту між користувачами повністю без доступу компанії, як в Signal або WhatsApp. Zoom не пропонує такий рівень шифрування, що робить використання терміна «наскрізний» не дійсним. Але Zoom заперечує звинувачення у введенні в оману. Компанія заявляє, що фраза «наскрізне» має на увазі, що з'єднання було зашифровано від однієї кінцевої точки Zoom до іншої кінцевої точки Zoom, і що «Контент не розшифровується у міру проходження через хмарну інфраструктуру Zoom». Компанія також заявила, що збирає тільки ті дані користувачів, які необхідні для підвищення якості сервісу, в тому числі IP-адреси, відомості про ОС і пристрої. При цьому компанія не дозволяє співробітникам отримувати доступ до конкретного змісту конференцій. Разом з тим, сервіс допускає витік деяких адрес електронної пошти і фотографій користувачів, а також дозволяє деяким користувачам ініціювати відеодзвінки з незнайомими людьми. Це відбувається через помилки з обробкою контактів, які, вважає сервіс, відносяться до однієї і тієї ж організації. Як правило, Zoom групує контакти з одним і тим же поштовим доменом в Company Directory, щоб користувачі могли знайти конкретну людину, подивитися його фотографію і електронну пошту і почати відеодзвінок із цією людиною. Це має сенс для компанії, співробітники якої спілкуються через Zoom. Але додаток також групує і людей, які використовують для роботи особисту електронну пошту. Це означає, що користувач може бачити особисті адреси електронної пошти та фотографії людей з тим же доменом електронної пошти в своєму каталозі Company Directory, навіть якщо ніхто з цих людей насправді не є його колегами. Неясно, наскільки широко поширена ця проблема або скільки доменів електронної пошти може бути порушено. Зіткнувся з цією проблемою користувач поділився скріншотом, який показує 995 облікових записів в його каталозі Company Directory. Цей користувач також зазначив, що він зіткнувся з проблемою при роботі з доменами xs4all.nl, dds.nl і quicknet.nl, які є доменами електронної пошти від голландських інтернет-провайдерів. Після виявлення цієї проблеми адміністрація Zoom повідомила, що додала ці домени в чорний список. Це повинно запобігти повторному виникненню проблеми з цими конкретними доменами. Компанія також відзначає, що на сторінці підтримки користувачі можуть запросити внесення доменів в чорний список. Додатково повідомляється, що сервіс не групує «загальнодоступні домени, включаючи gmail.com, yahoo.com, hotmail.com і т. д.». Але, як з'ясувалося, сервісу відомі далеко не всі загальнодоступні домени. Джерело: The Verge 1, 2 | |
|
| |
| Всього коментарів: 0 | |