CERT-RO varuje používateľov Zoom môže ohroziť vaše zabezpečenie dát

Autor: Iulian Luca/Dátum uverejnenia: 02-04-2020 16:04

cert-ro

CERT-RO upozorňuje na aplikáciu Zoom, ktorá sa v tomto období používa čoraz častejšie kvôli pandémii koronavírusom. Aplikácia má veľmi veľký počet stiahnutí, najmä na mobilné zariadenia, ale len málokto vie, že má množstvo zraniteľností a skrytých funkcií, ktoré môžu ohroziť bezpečnosť údajov používateľa.

Aplikácia Zoom, softvér určený na videohovory medzi používateľmi, predstavuje sériu zraniteľností a skrytých funkcií, ktoré môžu ohroziť bezpečnosť údajov, varuje Národné centrum pre reakcie na kybernetické bezpečnostné incidenty (CERT-RO) v informácii zverejnenej vo štvrtok samostatne webstránka.

„Pretože čoraz viac ľudí je nútených pracovať na diaľku kvôli obmedzeniam spôsobeným šírením COVID-19, získava si softvér pre videohovory medzi používateľmi čoraz väčšiu popularitu. To je prípad aj aplikácie #Zoom, ktorá má najmä v mobilných zariadeniach veľmi veľké množstvo stiahnutí. Čo však používatelia nevedia, je to, že aplikácia obsahuje množstvo skrytých slabých miest a funkcií, ktoré môžu ohroziť bezpečnosť používateľských údajov. Keď osoba iniciuje videokonferenciu a koná ako hostiteľ, má možnosť aktivovať možnosť sledovania pozornosti ostatných účastníkov a dostávať upozornenia, ak nevenujú pozornosť obrazovke dlhšie ako 30 sekúnd. Či už používatelia čítajú e-maily, pracujú na súbore, správe alebo dokonca nevenujú pozornosť iným činnostiam na internete, hostiteľ videohovoru o tom dostane upozornenie. Hlavným problémom tejto funkcie, špecifickej pre Zoom, je skutočnosť, že účastníci nedostávajú oznámenie o tom, že tento proces je aktívny, a v dôsledku toho nedávajú súhlas na sledovanie svojej činnosti týmto spôsobom “, vysvetľujú špecialisti.

Podľa citovaného zdroja program Zoom uloží súbor .TXT správ z chatu z videokonferencie online a podľa informácií zverejnených na stránke pomocníka aplikácie bude uložený chat obsahovať iba správy od hostiteľa a reproduktorov pre všetkých účastníkov. „Nevysvetľuje však, čo sa stane s priamymi správami medzi účastníkmi,“ upozorňuje CERT-RO.

Aplikácia zhromažďuje osobné informácie o používateľoch

Na základe zásad ochrany osobných údajov spoločnosť Zoom zhromažďuje informácie o používateľoch, osobné informácie, ako sú meno, adresa, e-mailová adresa, telefónne číslo, funkcia, zamestnávateľ.

„Aj keď si účet Zoom nevytvoríte a nepripojíte sa k inej službe, aplikácia bude stále zhromažďovať informácie, ako je typ použitého zariadenia a adresa IP. Bezpečnostní experti nedávno identifikovali, že Zoom nesprávne zdieľa informácie s Facebookom. Aplikácia Zoom v systéme iOS konkrétne používala vývojovú súpravu (SDK) používanú na autentifikáciu prostredníctvom účtu Facebook, ktorá sa ukázala ako správa informácií na sociálnu sieť, aj keď sa používateľ neoveril prostredníctvom účtu Facebook. Medzitým bola táto súprava SDK z aplikácie vylúčená, môžu však byť ovplyvnení aj používatelia, ktorí nemajú aktuálne aktualizácie. Zoom má vlastnú šifrovaciu metódu šifrovania typu end-to-end (E2EE), ktorá používateľov zavádza, pretože použitou metódou šifrovania je zabezpečenie prenosovou vrstvou (TLS), rovnaká metóda, ktorá sa používa na ochranu pripojení HTTPS. Protokol TLS chráni spojenia pred odpočúvaním neoprávnenými osobami, nie však proti serverom Zoom. E2EE by malo umožniť dešifrovanie informácií iba vtedy, keď sa dostane k príjemcovi, ale v takom prípade je povolené aj dešifrovanie serverom Zoom “, vysvetľujú zástupcovia CERT-RO.

Vyhnite sa autentifikácii na Facebooku a aktualizujte aplikáciu

Odborníci tvrdia, že v roku 2019 konzultant v oblasti kybernetickej bezpečnosti zistil, že spoločnosť Zoom vytvorila na zariadení Mac používateľa lokálny webový server, ktorý aplikácii umožnil obísť bezpečnostné funkcie v internetovom prehliadači Safari 12. web nebol uvedený v žiadnej oficiálnej dokumentácii Zoom a bol použitý na obídenie aktivácie vyskakovacieho okna, ktoré Safari 12 zobrazilo pred zapnutím fotoaparátu zariadenia.

„Bohužiaľ, tento vzdialený webový server nebol správne zabezpečený. Interagovať s ním mohla takmer každá webová stránka. Výsledkom tejto akcie bolo, že Zoom v skutočnosti umožnil škodlivým webom prevziať kontrolu nad fotoaparátom vášho zariadenia Mac bez toho, aby v tejto súvislosti vydal varovanie, “zdôrazňuje citovaný zdroj.

Ďalšou chybou, ktorú experti odhalili, je skutočnosť, že funkcia Zoom umožňuje všetkým používateľom predvolene používať funkciu zdieľanej obrazovky. „Ak hostiteľ túto funkciu nezakáže, môžu ľudia so zlým úmyslom narušiť videokonferenciu distribúciou trápneho obsahu. K zomombovaniu môže obvykle dôjsť, keď je prístupový odkaz na videokonferenciu zverejnený. V USA už boli prípady, keď útočníci narušili alebo prepadli kurzy výučby “, uvádza sa v CERT-RO.

Aby mohli používatelia internetu chrániť svoje dáta pri používaní Zoom, odborníci odporúčajú používať počas hovorov prostredníctvom tejto aplikácie dve zariadenia, vyhnúť sa autentifikácii na Facebooku, používať aplikáciu iba s aktuálnymi aktualizáciami a chrániť hovory pred Zoombombingom.

Pred začatím verejnej videokonferencie prejdite do ponuky Nastavenia a zmeňte možnosť Zdieľanie obrazovky na nastavenie „Iba hostiteľ“. Vypnite možnosť „Pripojiť sa pred hostiteľom“ a vypnite možnosť „Povoliť opätovnému pripojeniu odstránených účastníkov“. deaktivujte „Prenosy súborov“, poznámky CERT-RO.

Ak to typ konferencie umožňuje, musí byť táto akcia chránená nastavením prístupového hesla.