Kontroverzní Zoom a proč si na něj dávat pozor

Společnost Zoom za poslední měsíc zaznamenala nárůst denního provozu o 535 %, ale vědci v oblasti bezpečnosti tvrdí, že aplikace je „katastrofou v oblasti soukromí“.

Zoom je kritizován za celou řadu problémů v oblasti ochrany osobních údajů, včetně zasílání uživatelských dat Facebooku, lhaní o end-to-end šifrování, možnosti sledování účastníků schůzek, či směrování hovorů přes Čínu. Zoom na základě kritiky ze strany uživatelů zastavuje další vývoj nových funkcí, aby se zaměřil na vyřešení otázek bezpečnosti a ochrany soukromí.

Covid-19 urychluje digitalizaci

Protože v mnoha zemích světa karanténa z důvodu šíření nového koronaviru přesunula mnoho osobních i pracovních aktivit do online prostředí, používání videokonferenční platformy Zoom nabralo na obrátkách. Stejně tak i obavy o její bezpečnost.

Podle analytické firmy SimilarWeb došlo v březnu k nárůstu denního provozu na stránce Zoom.us o 535 %. Podle společnosti Sensor Tower byla aplikace Zoom pro iPhone po celé týdny nejstahovanější aplikací v USA. Odborníci na bezpečnost však označili Zoom za „katastofu v oblasti soukromí” a “zásadním způsobem zkorumpovanou”, jak se vynořují další a další náznaky, že společnost zneužívá data uživatelů.

Situace má i právní dopady. V pondělí 30. března zaslala generální prokurátorka státu New York Letitia Jamesová společnosti dopis, v němž ji vyzvala, aby jí zaslala seznam opatření, která přijala, aby vyřešila bezpečnostní problémy spojené s nárůstem počtu uživatelů.

Mluvčí Zoomu v rozhovoru pro The Guardian uvedl, že plánuje poslat Jamesové požadované informace. „Zoom bere soukromí svých uživatelů, bezpečnost a důvěru uživatelů velmi vážně,“ řekl.

Ráj pro sběr tajných informací?

„Situace kolem Covid-19 vytvořila – a stále vytváří – skvělé příležitosti pro sběr tajných informací,“ říká Thomas Rid z John Hopkins University. „A Zoom je významnou součástí této zpravodajské truhly s pokladem.“

Např. ve Velké Británii se vede debata o tom, zda by vláda měla používat Zoom pro schůzky kabinetu, protože se podle některých odborníků jedná o vysoce rizikovou platformu. Vláda odůvodnila správnost využití technologie během „bezprecedentních časů“, kdy se někteří členové vlády dobrovolně izolovali doma a neměli přístup k bezpečnějším technologiím (standardně konference probíhají přes vysoce zabezpečené servery, na které ale ministři nemají připojení z domova). Debata ještě zintenzivnila poté, kdy premiér Boris Johnson na Twitteru zveřejnil příspěvek, který obsahoval identifikační číslo poslední schůzky kabinetu.

Je také známo, že Elon Musk ze společnosti SpaceX zakázal zaměstnancům Zoom používat s odvoláním na bezpečnostní problémy. NASA také brání zaměstnancům v jeho používání.

Dle serveru TechCrunch tento týden zakázala svým úřadům používání Zoomu z důvodu problémů se zabezpečením např. Taiwanská vláda a stát New York zakázal používání Zoomu ve školách.

Konzultant v oblasti bezpečnosti Graham Cluley řekl, že každý, kdo Zoom používá pro hovory o citlivých tématech, musí být opatrný. „Vyřešení problémů bude nějakou dobu trvat. A zvláště uživatelé, kteří vedou na platformě citlivé diskuse, by měli být rozumní a najít si prozatím jiný a bezpečnější způsoby komunikace.“

Jaké problémy tedy platforma má?

 Chybějící end-to-end šifrování

Jak uvádí článek na serveru The Intercept, společnost Zoom nepravdivě informovala uživatele o tom, že používá šifrování typu end-to-end, což je systém, který zabezpečuje komunikaci tak, aby ji mohli číst pouze zúčastnění uživatelé. Zoom potvrdil 1. dubna na svém blogu, že šifrování typu end-to-end v současné době technologie neumožňuje, a omluvil se za „zmatek“ způsobený „nesprávným“ naznačením opaku.

„Zoom-bombardování“

30. března oznámila agentura FBI, že vyšetřuje zvýšené množství případů zásahů do videokonferencí, tzv. „Zoom-bombardování“, při kterém hackeři pronikají do video schůzek a často vykřikují urážky, rasově zaměřené hrozby nebo sdílejí pornografii.

Na schůzky Zoom se totiž lze připojit pomocí krátké číselné URL adresy, kterou si umí hackeři snadno vygenerovat nebo ji dokonce prostě uhodnout, jak uvádí lednový report bezpečnostní firmy Checkpoint. Zoom z tohoto důvodu zavedl o víkendu pro všechny konference povinná hesla a virtuální předsálí, kromě organizátora také nikdo z účastníků nemůže sdílet obrazovku.

Nabourávání se do počítačů

V minulosti bylo nahlášeno několik bezpečnostních nedostatků ovlivňujících funkcionality platformy Zoom. Bývalý etický hacker pracující pro Americkou agenturu NSA Patrick Wardle již v loňském roce přišel na to, že Zoom v tichosti instaloval skrytý webový server na uživatelská zařízení, který by mohl umožnit přidat uživatele k hovoru bez jejich svolení.

Další chyba objevená minulý týden by umožnila hackerům převzít počítač Apple Mac, na kterém má uživatel nainstalovaný Zoom, včetně nabourání se do webové kamery a mikrofonu. Společnost Zoom hned 2. dubna vydala záplatu, kterou tyto problémy opravila, ale „počet problémů se Zoomem v minulosti jej staví na roveň škodlivého software“, uvedl Arvind Narayanan, docent počítačové vědy na Princetonské univerzitě.

Sledovací opatření v aplikaci Zoom

Zoom byl kritizován za svou funkci „sledování pozornosti“, která oznámí organizátorovi schůzky, že uživatel kliknul mimo okno  se Zoom konferencí na dobu 30 sekund nebo delší. Tato funkce by zaměstnavatelům umožnila kontrolovat, zda se zaměstnanci skutečně účastní pracovní schůzku nebo vyučujícím, zda studenti skutečně sledují výuku na dálku.

Prodej dat uživatelů

Server Motherboard zjistil, že Zoom posílá data uživatelů, kteří používají aplikaci pro iOS, společnosti Facebook za účelem reklamy, a to i tehdy, když uživatel nemá zřízený Facebookový účet.

V reakci na tyto zprávy společnost Zoom změnila některé své uživatelské zásady a ve čtvrtek 2. dubna uvedla, že „v minulosti nikdy neprodala uživatelská data a nemá v úmyslu prodávat data uživatelů ani v budoucnu“.

Nicméně, informace serveru Motherboard byly citován v rámci žaloby podané minulý týden k federálním soudu v Kalifornii, která obviňuje Zoom z toho, že na své platformě „řádně nezabezpečuje osobní údaje rostoucích milionů svých uživatelů “. Tuto bezpečnostní chybu zmiňuje také dopis prokurátorky Jamesové.

Šéf Zoomu se omlouvá za problémy s bezpečností a slibuje nápravu  

Zakladatel a generální ředitel společnosti Eric Yuan se na blogu společnosti 2. dubna omluvil za „nedostatky“ v otázkách bezpečnosti a slíbil, že se bude všemi zabývat.

Dále uvedl, že používání Zoomu se rychle rozšířilo tak, jak by to před koronavirovou pandemií nikdy nepředvídal. „Na konci prosince loňského roku byl maximální počet účastníků schůzek za den, a to bezplatných i placených, přibližně 10 milionů. V březnu tohoto roku jsme dosáhli více než 200 milionů uživatelů denně,“ napsal.

Připustil, že navzdory „nepřetržité práci“ na tom, aby platforma zvládla příliv nových uživatelů, služba „nenaplnila očekávání uživatelské komunity – ani svá vlastní – co se týče soukromí a bezpečnosti“. „Za to se hluboce omlouvám,“ napsal.

Směrování hovorů přes Čínu a zranitelnost týkající se předsálí schůzky

Firma Zoom má na kontě ještě další kontroverzi, a to když vědci v oblasti bezpečnosti z Citizen Lab na University of Toronto zjistili, že některé hovory jsou směrovány přes servery nacházející se v Číně, a to včetně šifrovacích a dešifrovacích klíčů, které se používají k jejich zajištění. Zoom totiž vlastní tři společnosti v Číně. A minimálně 700 zaměstnanců v těchto firmách se podílí na vývoji software pro Zoom.

Během analýzy výzkumní pracovníci také zjistili bezpečnostní problém u funkce předsálí, kterouZoom zavedl jako obranu proti Zoom-bombardování. „Usoudili jsme, že problém představuje riziko pro uživatele, a proto jsme zahájili se společností Zoom proces odhalování zranitelnosti. V současné době neposkytujeme o problému veřejně informace, abychom zabránili jeho zneužití,“ uvedl tým minulý pátek v podrobném prohlášení.

Zpráva serveru TechCrunch v sobotu uvedla, že Zoom „omylem“ nastavil dvě čínská datová centra jako záložní variantu pro případ přetížení sítě a umožnil jim tak přijímat hovory.

„Při normálním provozu se Zoom snaží opakovaně připojit k primárním datovým centrům v oblasti, kde se uživatel nachází, a pokud pokusy o připojení selžou z důvodu přetížení sítě nebo jiných, Zoom klient osloví dvě záložní datová střediska ze seznamu, na kterém je uvedeno několika sekundárních datových center,“ vysvětlil Eric Yuan.

Kroky k nápravě

Společnost uvádí, že provedla tyto kroky k nápravě obav spojených s bezpečností platformy:

• Vyjasnění situace ohledně šifrování.
• Odstranění části kódu, která zajišťovala sdílení dat z aplikace pro iOS na Facebook.
• Oprava chyb spojených s problémy na počítačích Apple Mac.
• Odstranění funkčnosti na LinkedIn, aby nedocházelo k nechtěnému zveřejňování údajů.
• Publikování návodů jak se vyhnout zoom-bombardování.

V následujících 90 dnech společnost plánuje:

• Zastavit vývoj nových funkcí a zaměřit se plně na bezpečnost a soukromí.
• Projít kontrolou u nezávislých odborníků, aby porozuměla bezpečnostním prvkům, které noví zákazníci potřebují.
• Připravit zprávu o transparentnosti datových requestů.
• Vylepšit svůj program odměn za nalezení chyb.
• Pořádat každotýdenní webinář, který bude poskytovat informace o ochraně soukromí a zabezpečení.

Rik Ferguson, viceprezident bezpečnostního výzkumu v Trend Micro, tyto změny přivítal.

„Problémy jdou napříč všemi směry: od konfigurace a laxních výchozích nastavení, přes zranitelnosti softwaru, podnikové zásady, až po rozhodování týkající se plánování produktu. To vše z blogového příspěvku velice jasně vyplývá.“

„Člověk musí cítit určitou sympatii k organizaci, která byla jednou z prvních, která během pandemie nabídla bezplatné služby a stala se obětí jak špatného rozhodování, tak také obětí vlastního úspěchu.“

Doporučení jak se chránit:

• Pokud potřebujete řešit jakékoli citlivé téma, které by se dalo zneužít, použijte jinou, bezpečnější technologii.
• Ideálně se vyhněte instalaci aplikace Zoom pro mobilní telefony, obzvláště pro systém iOS.
• Pečlivě si hlídejte, komu sdělujete číselné kódy pro přístup do video konferencí a upozorněte účastníky, aby je volně nešířili.
• Buďte si vědomi, že funkce předsálí obsahuje zranitelnost! Zkontrolujte si zabezpečení svého počítače, včetně kamery a mikrofonu.
• Pokud vlastníte počítač Apple Mac, stáhněte si poslední aktualizace a záplaty vydané společností Zoom.