Security Week 24: приватность Zoom и браузера Brave

Security Week 24: приватность Zoom и браузера Brave
50448c93c4e3084182b367dbdfee818b.jpeg

Прошедшая неделя принесла пару интересных новостей на тему приватности наших данных. В обоих случаях тайна переговоров и пользовательской активности в браузере обсуждалась в субъективном ключе. Такие дискуссии не очень конструктивны по своей сути — кто-то говорит: «Мне кажется, надо делать так», другие отвечают: «А нам так не кажется». Продолжаться подобные беседы могут до бесконечности, и, к сожалению, не всегда удается договориться даже по каким-то простым вещам.

Конкретный пример: на ежеквартальном звонке с инвесторами гендиректор Zoom Эрик Юанг объявил ( новость , обсуждение на Хабре) о скором внедрении системы сквозного шифрования видеозвонков. И тут же добавил, что такая технология, в отличие от существующих, менее стойких методов, будет доступна только тем, кто платит за услуги компании.

Алекс Стамос, бывший руководитель отдела инфосек-подразделения Facebook, недавно нанятый Zoom консультантом по безопасности, обосновал такое решение в Twitter. Если коротко: в теории end-to-end-шифрование делает переговоры недоступными для всех, кто не участвует в звонке, включая самого поставщика услуги, госорганы, конкурентов и простых любителей вломиться в чужую, плохо защищенную беседу. Так как абьюз сервиса теле-конференц-связи происходит в основном среди бесплатных пользователей, вводить более серьезную защиту для них преждевременно: иначе будет сложно бороться с теми, кто использует Zoom в нелегальных целях.

При этом технически аудит зашифрованных звонков можно проводить, ослабляя защиту, например, путем создания кольцевого буфера, хранящего последние пару минут переговоров: если участники звонка пометят обсуждение как незаконное, расшифрованный буфер именно с этим моментом беседы отправится модераторам на рассмотрение. Zoom решил так не делать, что и послужило поводом для горячего обсуждения.

Мы писали о ситуации с защитой телеконференций в Zoom в апрельском дайджесте. Нынешняя система шифрования разговоров несквозная, а используемые алгоритмы дают представление о том, что происходит в видеопотоке, даже без взлома. Алекс Стамос обозначил и другие проблемы: например, как поступать, если кто-то хочет подключиться к звонку с мобильного телефона, а не через фирменное приложение? В таком случае звук должен быть расшифрован перед трансляцией по обычным каналам связи. Иными словами, для внедрения сквозного шифрования, которое обещали после множества случаев утечки конфиденциальных переговоров, требуется решить много технических проблем. Но решение не внедрять более эффективную защиту переговоров для бесплатных пользователей — это инициатива бизнеса, как ее ни объясняй. Иначе к компании могут, например, возникнуть претензии со стороны правоохранительных органов: вы даете площадку преступникам, а мы не можем получить доступ к переговорам даже по решению суда. Разговор о приватности Zoom мало чем отличается от методов защиты данных владельцев смартфонов и способов шифрования бесед в мессенджерах.

694897f4543e32c4c1360550a052fafd.png
Здесь начинается часть «а нам так не кажется». И компанию Zoom, и лично Стамоса критиковали как в соцсетях, так и в СМИ . Если убрать эмоции, обсуждался вопрос: можно ли торговать приватностью? Если отвлечься от Zoom и посмотреть на картину в целом, получается, что да, вполне, и все так делают.
Компания Apple внедряет эффективную защиту данных на своих устройствах и рекламирует это как преимущество. Для тех, кто заботится о приватности бесед, сквозное шифрование — повод использовать конкретные мессенджеры. Эффект от бизнес-решения в любом случае будет измеряться в деньгах: в случае платного веб-сервиса это будет рост или падение выручки. Но подождите, коммерческие клиенты компании как раз и получат максимальную (хотя бы на словах) защиту.
16664a0a37fb18a38e28019419b8330f.png
В целом нормально, если бизнес предоставляет какие-то фичи (включая безопасность) тем, кто готов платить за услугу. Помимо субъективных мнений на этот счет, единственная конструктивная реакция произошла со стороны разработчиков открытого мессенджера Signal. Они объявили о создании системы максимально защищенных видеозвонков.
da863cdb4be8b912454f0d78a6bd1d26.png
Еще одна дискуссия на похожую тему. В субботу, 6 июня, пользователь Twitter заметил, что браузер Brave добавляет уникальный код к URL некоторых сайтов, если вводить их в адресной строке. Реферал добавляется, например, если зайти на сайт криптобиржи Binance.

Понятно, зачем добавлять код: есть соглашение о партнерстве между разработчиком браузера и владельцем ресурса, имеет место компенсация за привлечение пользователя, а для этого нужно отслеживать источник. Проблема в том, что Brave продвигают как браузер с повышенным вниманием к приватности: он режет баннеры, блокирует код для отслеживания пользователей и т. д. В ответ на драму сооснователь компании — разработчика Brave сообщил об исправленной ошибке: реферал не должен добавляться при наборе ссылки в адресной строке. Но он продолжит работу, если пользователь ищет те же криптовалютные сервисы и в итоге переходит на сайт партнера.

Не будем даже пытаться комментировать, кто в этих двух примерах поступает правильно. В обоих случаях речь идет о разных вариантах соблюдения приватности, о попытке привести некую идеальную концепцию соблюдения тайны переговоров или другой пользовательской активности к реальной жизни. В которой есть вопросы борьбы с криминалом и требования законодательства. И, что гораздо чаще влияет на решения компаний, необходимость получать прибыль и выдавать зарплаты сотрудникам.

Что еще произошло:

cc4325f26ed82645ad191fb3af740d20.png
Сайт BleepingComputer сообщает о появлении публичного эксплойта к уязвимости в протоколе SMB. Речь идет об уязвимости CVE-2020-0796 , закрытой разработчиками Microsoft в марте этого года.

Июньское обновление безопасности Android закрывает две критические уязвимости. Тем временем издание The Register сообщает о любопытном баге в Android, вызывающем циклическую перезагрузку устройства, если пользователь установит «подготовленную» картинку в качестве обоев.

22a0afbecff8ff4a0d1bb64e5775561d.png
Специалисты «Лаборатории Касперского» исследуют вредоносный код, созданный для систем, не подключенных к Сети. Компонент реальной атаки, названный USBCulprit, использует для эксфильтрации данных флешки.

Очень интересный отчет о забавной уязвимости в системе менеджмента IT-процессов GLPI. Автор исследования на практике столкнулся с неожиданным сценарием. GLPI создает тикеты для IT-службы из входящих сообщений на электронную почту. Если в письме содержится определенная последовательность символов, при обработке тикета стирается вся база обращений в службу поддержки. Обнаружен баг был также нетривиальным способом: после получения нотификации от сервиса Haveibeenpwned, в котором совершенно случайно оказалась требуемая последовательность.

Разработчики Apple выпустили патч, закрывающий уязвимость, которая позволяла взломать последние версии iPhone. Инструмент для джейлбрейка UnC0ver, эксплуатирующий уязвимость, появился в открытом доступе на позапрошлой неделе.
brave covid-19 zoom приватность
Alt text
Комментарии для сайта Cackle