Videokonferenční služba Zoom posílala data Facebooku a neříká pravdu o šifrování

2. 4. 2020

Sdílet

Zoom - aplikace - videokonference Autor: Zoom

AKTUALIZACE (3. 4. 13:30) – Další vývoj popisujeme v aktualitě Videokonferenční služba Zoom se kaje. Bezpečnostní chyby opravíme, slibuje

Popularita videokonferenční služby Zoom v posledních týdnech raketově vzrostla. Důvodem je vyšší potřeba lidí v době epidemie COVID-19 komunikovat přes internet – ať už z pracovních důvodů, v rámci školní výuky na dálku nebo pro soukromé účely.

Se stoupajícím zájmem se na Zoom zaměřila také vyšší pozornost bezpečnostních expertů. A brzy se ukázalo, že služba má „pod kapotou“ několik problematických součástek. Popisuje je například server The Verge

Bezpečnostní experti podle něj přišli na to, že ID jednotlivých „videoschůzek“ je možné odhadnout a k videokonferenci se tak může připojit i nezvaný host zvenčí, který může odposlouchávat konverzaci nebo se do ní zapojit. Chybu začali někteří lidé zneužívat pro tzv. zoombombing (nezvaný účastník se připojí ke konferenci a sdílí s ostatním uživateli např. porno). Aby tomu zamezil, upravil Zoom své výchozí nastavení – ale jen účtům používaným ve školství.

Koncem března odhalil server Motherboard, že aplikace Zoomu pro iOS bez vědomí uživatelů odesílá některá data o jejím používání Facebooku. Přes Graph API tak na servery sociální sítě putovaly údaje o tom, že uživatel Zoom spustil, podrobnosti o jeho zařízení, místě a času nebo reklamní ID, které se používá k cílení reklam. 

Zoom po odhalení oznámil, že funkce byla součástí SDK Facebooku, které firma použila k implementaci přihlašování uživatele facebookovým účtem. Zoom následně aplikaci pro iOS upravil tak, aby už data neposílala.

Poslední březnový den pak server Intercept přinesl zprávu o tom, že Zoom neříká pravdu o tom, že své videokonverzace zabezpečuje tzv. koncovým (end-to-end) šifrováním. To má mimo jiné zajistit, aby k obsahu komunikace neměla přístup nikdo, kromě jejích účastníků – tedy ani Zoom. 

Ve skutečnosti ale firma používá tzv. transportní šifrování (protokol TLS), které zabezpečuje data jen „na cestě“ mezi serverem a klientskou aplikací. Zoom tak teoreticky může mít přístup k obsahu konverzací.

Zatím posledním zveřejněným problémem je aktuální zjištění, že Zoom ve Windows obsahuje chybu, kterou může útočník za určitých podmínek využít k získání přístupu k dalším síťovým umístěním. Zoom podle oficiálního vyjádření na opravě pracuje.

Našli jste v článku chybu?

Autor aktuality

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).