A járvány miatt millióknak kell négy fal között maradniuk, és ez korábban kevésbé elterjedt alkalmazások számára is nem várt népszerûséget hozott. Ilyen többek között a Zoom, amit elképesztõen sok aktív felhasználó választ minden nap, ám az újdonsült érdeklõdés miatt felszínre kerültek az alkalmazás aggasztó biztonsági problémái is, ráadásul egyre több félrevezetõ link hazudja magát hivatalos letöltõforrásnak.

Az online beszélgetésre használt programok között a Zoom könyvelheti el a legnagyobb sikereket, mivel jelenleg 200 millióan intéznek rajta videohívásokat és több résztvevõs konferenciabeszélgetéseket. Ez a szám múlt év decemberében még 10 millió volt, ám a koronavírus miatt rövid idõ alatt tömegek lepték el a szervereket. Legnagyobb elõnye, hogy még az ingyenes változat is megengedi a 100 fõs hívások lebonyolítását, míg a fizetõs vállalati csomag akár 200 fél közötti össznépi meeting lebonyolítására is lehetõséget ad, mindezt korrekt minõségben, különösebb fennakadások nélkül. A váratlan kereslet azonban a biztonsági problémákra is ráirányította a figyelmet, melyek között titkosítási hibák, kéretlenül kiszolgáltatott adatok és jelszavak, illetéktelen belépések, és egyéb ijesztõ tényezõk is megtalálhatók.

Veszélyben a telefonszámunk és minden adatunk?

A közelmúltban szinte minden hétre jutott egy Zoommal kapcsolatos kellemetlen hír. Március végén az úgynevezett „Zoombomber” jelenségrõl szóltak a hírek. Az alkalmazásban nyilvános események is indíthatók, amiket gyorsan el is leptek a hívatlan résztvevõk, rasszista, pornográf és egyéb kellemetlen tartalmakkal zaklatva a megjelenteket. A zaklató jellegû trollkodás mellett az is gondot jelentett, hogy vírusos, vagy más kéretlen tartalmat is megoszthattak, amire az óvatlan beszélgetõk rákattinthattak. Ez persze aligha a fejlesztõk hibája, mivel a kódolatlan beszélgetésekbe érthetõ módon bárki beléphet, így a készítõk is csak azt tudták javasolni, hogy ha egy mód van rá, ne osszuk meg nyilvánosan a beszélgetésre mutató hivatkozást.

Az Apple sem maradt ki a jóból

A bajok valójában nem újkeletûek, tavaly az Apple felhasználók már találkozhattak egy biztonsági problémával, mely a szolgáltatást segítõ webszerver alkalmazáson keresztül jogosulatlan hozzáférésre adott lehetõséget, konkrétan a tudtunk nélkül bekapcsolhatták eszközünk webkameráját. Ennél azonban jóval durvább volt a helyzet néhány napja, mikor kiderült, hogy az iOS app különféle adatokat küldött a Facebook felé, még akkor is, ha készülék tulajdonosa nem rendelkezett Facebookos regisztrációval. A jelenséget az okozta, hogy a Zoom (más szoftverekhez hasonlóan) Facebook fejlesztõi környezetét (SDK-ját) alkalmazza, mely a személyre szabott hirdetésekhez szükséges információkat küldött a Facebook felé. A felhasználói feltételek jelzik ugyan az esetleges adatgyûjtést, ám az nem szerepel benne, hogy a belépés idejét, helyinformációkat és egyéb részleteket a Facebook számára is kiszolgáltatnák. Ha ez nem lenne elég, a rögzített videóhívásokhoz automatikusan hozzáférést kaptak a program rendszergazdái is, egyéb privát jogosultságokkal együtt. A Zoom gyorsan reagált, eltávolította a kritikus hibákat, és frissítette az iOS appot is.

A szerverek mindent látnak?

A Zoom megítélésén esett méretes csorbát újabb kellemetlen információ növelte, mivel a The Intercept felfedezése szerint az eddig teljesen védettnek gondolt beszélgetések adataihoz nem csak a részvevõ felek, de a Zoom szerverek is hozzáférhetnek. A lényeg, hogy míg például az Apple FaceTime a teljesen megbízható végponttól végpontig terjedõ (end to end) titkosítást használja, a Zoom sajnos csak a kevésbé hatékony TLS titkosítás mellett tudta megoldani a program optimális mûködését. A szerverek gondoskodnak róla, hogy az a videófolyam legyen magas minõségû, amely az éppen beszélõ féltõl érkezik, és a fejlesztõk szerint az „end to end” megoldás mellett nem tudták megoldani ennek a fontos funkciónak a mûködését. Ha minden igaz, jelenleg csak a szöveges chat tartalmai maradhatnak teljesen rejtve, de legalább magánszemélyektõl, illetve hálózatunkat támadóktól továbbra is teljesen védve vagyunk.

Hogyan kezeljünk 200 millió felhasználót?

A Zoom felhasználói élmény szempontjából valóban egy egyszerû, letisztult és könnyen kezelhetõ alkalmazás, de az minimum kellemetlen, hogy különbözõ polgárjogi szervezetek, biztonsági szakértõk, de még az FBI is szót emelt a biztonsági problémák miatt. New York fõügyésze, Letitia James nemrég szintén számonkérte a Zoom Video Communications-t az adatkezeléssel és adatbiztonsággal kapcsolatos intézkedéseik hatékonyságáról, mivel magánszemélyek, diákok, cégek és kormányhivatalok értékes adatai egyaránt veszélyeztetettek. A kérdésre reagáló sajtóreferens igyekezett biztosítani a fõügyészt a folyamatosan zajló munkáról, és ígéretet tett a biztonsággal kapcsolatos információk átadására is. A Zoom egy nyilatkozatában jelezte, hogy a szolgáltatásuk eredetileg vállalati partnerek számára készült, és még hozzá kell szokniuk a rengeteg felhasználóhoz, illetve a végtelenül sok kihívást jelentõ helyzethez, ami a felduzzadt felhasználói bázissal együtt érkezett.

Hogy visszanyerjék a felhasználók bizalmát, a következõ 90 nap kizárólag a biztonsági problémák javításával telik majd, a progam addig semmilyen egyáb változtatást, javítást nem kap. Amennyiben használjuk a Zoomot, legyünk óvatosak, és mindig telepítsük a frissítéseket.

Források: theverge.com, theintercept.com, consumerreports.org, mspoweruser.com, vice.com, eff.org, hvg.hu, blog.zoom.us, engadget.com