Многие люди, перешедшие во время карантина на удаленную работу или учебу, для видеоконференций используют программу Zoom. Из-за ряда уязвимостей сервис часто подвергается хакерским атакам. Одна из них получила название «зумбомбинг» («Zoom bombing») — явление, когда неизвестный вклинивается в чужую беседу и может, например, отправить какой-то неприличный файл всем участникам видеоконференции.
Как работает зумбомбинг?
Подключиться к видеоконференции можно по ссылке. Хакеры ищут ссылки на онлайн-собрания, которые пользователи размещают в открытом доступе. Подключившись к чужой беседе, они демонстрируют всем участникам видеозаписи хулиганской направленности, с насилием или порнографией.
Журналисты The New York Times нашли более 150 учетных записей в Instagram и других соцсетях и форумах, где Zoom-хулиганы собираются, обсуждают свои атаки и делятся ссылками на чужие видеоконференции.
Zoom bombing стал особенно частым явлением в период пандемии коронавируса, когда многие школы стали пользоваться программой Zoom для проведения онлайн-уроков. Например, в начале апреля в процессе видеоконференции в одной из саратовских школ неизвестный во время онлайн-урока включил порнографический ролик. По факту происшествия 13 апреля Следственный комитет возбудил уголовное дело по п. «б» ч. 3 ст. 242 УК РФ (публичная демонстрация и рекламирование порнографических материалов среди несовершеннолетних). Похожие случаи происходили во время онлайн-уроков у школьников в Калуге и в Южно-Сахалинске.
Как избежать зумбомбинга?
Прежде всего не оставлять ссылки на видеоконференции в публичном доступе, тогда злоумышленникам будет труднее их получить. Но и это не панацея. Как сообщало издание The Verge, эксперт по кибербезопасности Брайан Кребс создал программу, которая автоматически угадывает коды доступа к конференциям в Zoom. За час он смог получить доступ к 100 трансляциям, а за день просканировал информацию почти о 2 400 чатах. В Zoom, в свою очередь, тогда порекомендовали делать конференции приватными, поскольку защищенные паролем комнаты программа обнаружить не может.
22 апреля вышло обновление — Zoom 5.0. Как сообщили в блоге Zoom, в новой версии программы были исправлены ряд проблем безопасности. В частности, функция «Зал ожидания», когда участники находятся в отдельных виртуальных комнатах, будет включена по умолчанию для учетных записей Pro с базовыми правами и образовательных учреждений. Это, как рассчитывают в Zoom, должно помочь избежать случаев зумбомбинга.
Какие еще уязвимости есть у сервиса Zoom?
Сервис в последнее время часто критикуют за обилие уязвимостей в программе. В конце марта издание Motherboard писало, что приложение Zoom для iOS отправляло аналитические данные в Facebook, даже если у пользователя не было учетной записи в соцсети. Приложение, в частности, предоставляло соцсети информацию о времени запуска, часовом поясе, мобильном операторе и ряд других данных. Все эти данные можно было использовать для таргетирования рекламы. После вызванного резонанса в Zoom выпустили обновление, заявив, что удалили код, передававший информацию Facebook.
31 марта новостное издание The Intercept рассказало, что видеозвонки в Zoom не защищены сквозным шифрованием (end-to-end, E2E), в то время как в компании заявляли, что шифруют диалоги. На практике выяснилось, что Zoom использует TLS-шифрование. Оно кодирует данные не между пользователями, а между сервером и пользователем. Таким образом, компания могла иметь доступ к незашифрованному видео и аудиоконтенту.
В начале апреля в The Washington Post появилась информация, что в открытом доступе оказались записи более чем 15 000 конференц-звонков, совершенных с помощью Zoom. Кроме того, выяснилось, что Zoom может автоматически добавлять пользователей в контакты друг к другу без их ведома.
В начале апреля компания Google запретила своим сотрудникам устанавливать программу на рабочие компьютеры из-за проблем с безопасностью. По этой же причине от использования Zoom отказались и другие крупные компании, в частности SpaceX и Apple.