ESET: як зробити відеоконференції безпечнішим

Різке зростання попиту на Zoom допомогло виявити проблеми конфіденційності та безпеки сервісу, який зараз використовується навіть для щоденних зустрічей уряду Великобританії (хоча, Міністерство оборони Великобританії забороняє своїм працівникам використовувати сервіс).

Протягом кількох останніх днів кількість критики щодо проблем безпеки Zoom від експертів у галузі кібербезпеки стрімко зростала. Варто зазначити, що генеральний директор компанії вибачився за проблеми та окреслив заходи щодо покращення безпеки та конфіденційності Zoom. Він також оголосив 90-денне заморожування функцій, протягом яких компанія зосередить усі технічні ресурси на питаннях безпеки та конфіденційності.

Проблеми безпеки, які були виявлені в Zoom останнім часом:

• У політиці конфіденційності компанія не вказала, що версія програми для iOS надсилає аналітичні дані до Facebook, навіть якщо користувачі не мають облікового запису в соціальній мережі. Розробники Zoom визнали проблему та вилучили набір із засобів розробки для Facebook (SDK) для iOS.
• За даними дослідження The Intercept, сервіс не здійснює наскрізне шифрування відео та аудіоконференцій, незважаючи на те, що в Zoom тривалий час затверджували протилежне. Однак пізніше представники компанії вибачились і уточнили, що сервіс використовує транспортне шифрування (TLS).
• Також було встановлено, що програма містить кілька вразливостей безпеки, які компанія швидко виправила та випустила оновлення. Зокрема, у версії програми для Windows була вразливість введення маршруту UNC, яка могла призвести до витоку облікових даних користувачів і навіть до виконання довільних команд на їх пристроях. Дві інші помилки стосувалися клієнта для MacOS і давали зловмисникам можливість несанкціонованого доступу до комп'ютерів користувачів.
• Компанії також довелося відмовитися від функції «відстеження відвідувачів», що давала можливість власнику конференції перевірити, чи дійсно учасники уважно дивилися трансляцію, коли він використовував режим обміну екраном.

• Крім цього, відомі випадки, колитролі та жартівники отримували доступ до приватних зустрічей та шкільних онлайн-уроків і включали страшні зображення.

Від таких витоків даних та проблем конфіденційності могла постраждати величезна кількість людей, оскільки за останні три місяці кількість щоденних користувачів сервісу зросла з 10 до 200 мільйонів осіб. Проте, очевидно, компанія була не готова до такого непередбачуваного успіху.

Як зробити відеоконференції безпечнішим

Навіть працюючи у віддаленому режимі, ми не повинні нехтувати питаннями безпеки. Ефективні заходи, які можна вжити для своєї безпеки та конфіденційності при спілкуванні в Zoom, включають:

• Використання функції захисту відеоконференцій паролем. Для додаткового захисту можна залишати учасників у «режимі очікування» та персонально підтверджувати або відхиляти запити на підключення до конференції.
• Застосування обмеження доступу до екрана.
• Використання актуальної версії програми та регулярне встановлення оновлень, які можуть містити важливі виправлення вразливостей безпеки.
• Утримання від поширення посилань або ID конференцій у соціальних мережах.
• Використання ID для приєднання до конференції. Оскільки зі зростанням популярності Zoom, збільшилася і кількість зловмисників, які під виглядом посилань на конференції розповсюджують фішингові посилання.