A járvány miatt millióknak kell négy fal között maradniuk, és ez korábban kevésbé elterjedt alkalmazások számára is nem várt népszerűséget hozott. Ilyen többek között a Zoom, amit elképesztően sok aktív felhasználó választ minden nap, ám az újdonsült érdeklődés miatt felszínre kerültek az alkalmazás aggasztó biztonsági problémái is, ráadásul egyre több félrevezető link hazudja magát hivatalos letöltőforrásnak.
Az online beszélgetésre használt programok között a Zoom könyvelheti el a legnagyobb sikereket, mivel jelenleg 200 millióan intéznek rajta videohívásokat és több résztvevős konferenciabeszélgetéseket. Ez a szám múlt év decemberében még 10 millió volt, ám a koronavírus miatt rövid idő alatt tömegek lepték el a szervereket. Legnagyobb előnye, hogy még az ingyenes változat is megengedi a 100 fős hívások lebonyolítását, míg a fizetős vállalati csomag akár 200 fél közötti össznépi meeting lebonyolítására is lehetőséget ad, mindezt korrekt minőségben, különösebb fennakadások nélkül. A váratlan kereslet azonban a biztonsági problémákra is ráirányította a figyelmet, melyek között titkosítási hibák, kéretlenül kiszolgáltatott adatok és jelszavak, illetéktelen belépések, és egyéb ijesztő tényezők is megtalálhatók.
Veszélyben a telefonszámunk és minden adatunk?
A közelmúltban szinte minden hétre jutott egy Zoommal kapcsolatos kellemetlen hír. Március végén az úgynevezett „Zoombomber” jelenségről szóltak a hírek. Az alkalmazásban nyilvános események is indíthatók, amiket gyorsan el is leptek a hívatlan résztvevők, rasszista, pornográf és egyéb kellemetlen tartalmakkal zaklatva a megjelenteket. A zaklató jellegű trollkodás mellett az is gondot jelentett, hogy vírusos, vagy más kéretlen tartalmat is megoszthattak, amire az óvatlan beszélgetők rákattinthattak. Ez persze aligha a fejlesztők hibája, mivel a kódolatlan beszélgetésekbe érthető módon bárki beléphet, így a készítők is csak azt tudták javasolni, hogy ha egy mód van rá, ne osszuk meg nyilvánosan a beszélgetésre mutató hivatkozást.
Az Apple sem maradt ki a jóból
A bajok valójában nem újkeletűek, tavaly az Apple felhasználók már találkozhattak egy biztonsági problémával, mely a szolgáltatást segítő webszerver alkalmazáson keresztül jogosulatlan hozzáférésre adott lehetőséget, konkrétan a tudtunk nélkül bekapcsolhatták eszközünk webkameráját. Ennél azonban jóval durvább volt a helyzet néhány napja, mikor kiderült, hogy az iOS app különféle adatokat küldött a Facebook felé, még akkor is, ha készülék tulajdonosa nem rendelkezett Facebookos regisztrációval. A jelenséget az okozta, hogy a Zoom (más szoftverekhez hasonlóan) Facebook fejlesztői környezetét (SDK-ját) alkalmazza, mely a személyre szabott hirdetésekhez szükséges információkat küldött a Facebook felé. A felhasználói feltételek jelzik ugyan az esetleges adatgyűjtést, ám az nem szerepel benne, hogy a belépés idejét, helyinformációkat és egyéb részleteket a Facebook számára is kiszolgáltatnák. Ha ez nem lenne elég, a rögzített videóhívásokhoz automatikusan hozzáférést kaptak a program rendszergazdái is, egyéb privát jogosultságokkal együtt. A Zoom gyorsan reagált, eltávolította a kritikus hibákat, és frissítette az iOS appot is.
A szerverek mindent látnak?
A Zoom megítélésén esett méretes csorbát újabb kellemetlen információ növelte, mivel a The Intercept felfedezése szerint az eddig teljesen védettnek gondolt beszélgetések adataihoz nem csak a részvevő felek, de a Zoom szerverek is hozzáférhetnek. A lényeg, hogy míg például az Apple FaceTime a teljesen megbízható végponttól végpontig terjedő (end to end) titkosítást használja, a Zoom sajnos csak a kevésbé hatékony TLS titkosítás mellett tudta megoldani a program optimális működését. A szerverek gondoskodnak róla, hogy az a videófolyam legyen magas minőségű, amely az éppen beszélő féltől érkezik, és a fejlesztők szerint az „end to end” megoldás mellett nem tudták megoldani ennek a fontos funkciónak a működését. Ha minden igaz, jelenleg csak a szöveges chat tartalmai maradhatnak teljesen rejtve, de legalább magánszemélyektől, illetve hálózatunkat támadóktól továbbra is teljesen védve vagyunk.
Hogyan kezeljünk 200 millió felhasználót?
A Zoom felhasználói élmény szempontjából valóban egy egyszerű, letisztult és könnyen kezelhető alkalmazás, de az minimum kellemetlen, hogy különböző polgárjogi szervezetek, biztonsági szakértők, de még az FBI is szót emelt a biztonsági problémák miatt. New York főügyésze, Letitia James nemrég szintén számonkérte a Zoom Video Communications-t az adatkezeléssel és adatbiztonsággal kapcsolatos intézkedéseik hatékonyságáról, mivel magánszemélyek, diákok, cégek és kormányhivatalok értékes adatai egyaránt veszélyeztetettek. A kérdésre reagáló sajtóreferens igyekezett biztosítani a főügyészt a folyamatosan zajló munkáról, és ígéretet tett a biztonsággal kapcsolatos információk átadására is. A Zoom egy nyilatkozatában jelezte, hogy a szolgáltatásuk eredetileg vállalati partnerek számára készült, és még hozzá kell szokniuk a rengeteg felhasználóhoz, illetve a végtelenül sok kihívást jelentő helyzethez, ami a felduzzadt felhasználói bázissal együtt érkezett.
Hogy visszanyerjék a felhasználók bizalmát, a következő 90 nap kizárólag a biztonsági problémák javításával telik majd, a progam addig semmilyen egyáb változtatást, javítást nem kap. Amennyiben használjuk a Zoomot, legyünk óvatosak, és mindig telepítsük a frissítéseket.
Források: theverge.com, theintercept.com, consumerreports.org, mspoweruser.com, vice.com, eff.org, hvg.hu, blog.zoom.us, engadget.com