В Zoom обнаружен ряд проблем с безопасностью

В Zoom обнаружен ряд проблем с безопасностью

«Сквозное» шифрование в Zoom оказалось не таким уж «сквозным»; кроме того, приложение раскрывает данные пользователей.

В условиях карантина, связанного с пандемией коронавируса, существенно возросла популярность сервисов для общения и конференцсвязи, таких как Zoom. В связи с этим ПО попало в поле зрения специалистов в области кибербезопасности, выявивших в нем несколько проблем. К примеру, как стало известно, iOS-приложение Zoom отправляло Facebook данные об устройствах пользователей, и хотя разработчики исправили эту проблему, исследователи нашли несколько новых.

Как сообщает портал The Intercept, используемое в Zoom шифрование не является по-настоящему сквозным. Согласно информации, представленной на сайте Zoom и в отчете безопасности, приложение использует сквозное шифрование (end-to-end encryption). Тем не менее, на вопрос сотрудников The Intercept пресс-секретарь Zoom ответил, что «в настоящее время включить сквозное шифрование для видеозвонков в Zoom невозможно».

Приложение использует TLS, стандарт, использующийся в браузерах для HTTPS-сайтов. Другими словами, данные, передаваемые между пользователями и серверами Zoom, шифруются так же, как трафик Gmail и Facebook. В свою очередь, термин «сквозное шифрование», как правило, означает полную защиту трафика между двумя пользователями без доступа к нему компании. Zoom не использует такой подход, поэтому заявление о сквозном шифровании вводит в заблуждение.

Сама компания не согласна с обвинениями в введении пользователей в заблуждение. «Используя в своих материалах слово “сквозное” (end-to-end – ред.), мы имеем в виду, что шифруем соединение между двумя конечными точками Zoom», – пояснили представители компании.

О еще одной проблеме в Zoom сообщило издание Vice. Как оказалось, из-за уязвимости приложение раскрывает электронные адреса и фотографии тысяч пользователей, а также позволяет осуществлять видеозвонки с незнакомцами. Проблема связана с тем, как приложение обрабатывает контакты, считающиеся им принадлежащими к одной организации.

Как правило, Zoom группирует контакты с одним и тем же доменом электронной почты в «Каталог компании». Это позволяет пользователям находить своего коллегу, видеть его фотографию и электронную почту и инициировать с ним видеозвонок. Для сотрудников компаний такой подход весьма удобен, но приложение также объединяет пользователей, подписавшихся на данную услугу с помощью личной электронной почты. То есть, затронутый пользователь может видеть в своем «Каталоге компании» личные электронные адреса и фотографии людей с тем же доменом, даже если никто из них на самом деле не является его коллегой.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!