В Zoom обнаружен ряд проблем с безопасностью

В Zoom обнаружен ряд проблем с безопасностью

«Сквозное» шифрование в Zoom оказалось не таким уж «сквозным»; кроме того, приложение раскрывает данные пользователей.

В условиях карантина, связанного с пандемией коронавируса, существенно возросла популярность сервисов для общения и конференцсвязи, таких как Zoom. В связи с этим ПО попало в поле зрения специалистов в области кибербезопасности, выявивших в нем несколько проблем. К примеру, как стало известно, iOS-приложение Zoom отправляло Facebook данные об устройствах пользователей, и хотя разработчики исправили эту проблему, исследователи нашли несколько новых.

Как сообщает портал The Intercept, используемое в Zoom шифрование не является по-настоящему сквозным. Согласно информации, представленной на сайте Zoom и в отчете безопасности, приложение использует сквозное шифрование (end-to-end encryption). Тем не менее, на вопрос сотрудников The Intercept пресс-секретарь Zoom ответил, что «в настоящее время включить сквозное шифрование для видеозвонков в Zoom невозможно».

Приложение использует TLS, стандарт, использующийся в браузерах для HTTPS-сайтов. Другими словами, данные, передаваемые между пользователями и серверами Zoom, шифруются так же, как трафик Gmail и Facebook. В свою очередь, термин «сквозное шифрование», как правило, означает полную защиту трафика между двумя пользователями без доступа к нему компании. Zoom не использует такой подход, поэтому заявление о сквозном шифровании вводит в заблуждение.

Сама компания не согласна с обвинениями в введении пользователей в заблуждение. «Используя в своих материалах слово “сквозное” (end-to-end – ред.), мы имеем в виду, что шифруем соединение между двумя конечными точками Zoom», – пояснили представители компании.

О еще одной проблеме в Zoom сообщило издание Vice. Как оказалось, из-за уязвимости приложение раскрывает электронные адреса и фотографии тысяч пользователей, а также позволяет осуществлять видеозвонки с незнакомцами. Проблема связана с тем, как приложение обрабатывает контакты, считающиеся им принадлежащими к одной организации.

Как правило, Zoom группирует контакты с одним и тем же доменом электронной почты в «Каталог компании». Это позволяет пользователям находить своего коллегу, видеть его фотографию и электронную почту и инициировать с ним видеозвонок. Для сотрудников компаний такой подход весьма удобен, но приложение также объединяет пользователей, подписавшихся на данную услугу с помощью личной электронной почты. То есть, затронутый пользователь может видеть в своем «Каталоге компании» личные электронные адреса и фотографии людей с тем же доменом, даже если никто из них на самом деле не является его коллегой.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!