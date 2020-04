Zoom je software pro „telefonování“ přes internet mezi jednotlivci i ve skupinách (meeting, konference). S příchodem koronavirové epidemie se prakticky všechny aplikace a programy tohoto druhu dostaly do popředí zájmu a Zoom je mezi nimi na špičce.

Má přitom za sebou historii bezpečnostních nedostatků, nezodpovědného přístupu k soukromí uživatelů a opakovaně byl pro uživatele bezpečnostní hrozbou. Vlastně ne úplně neoprávněně ho v některých médiích označili za „malware“. Co všechno byste měli o Zoomu vědět, než ho budete používat?

Nebezpečná komunikace

Jedním z prvních nově zveřejněných problémů Zoomu se stal tzv. zoombombing. Jde o situaci, kdy se do videokonference dostávají cizí lidé a šíří tam nevhodný obsah – rasové urážky, vyhrožování, pornografii a řadu dalších věcí. Podobné aktivity se rozrostly do tak velkých rozměrů, že 30. března před zoombombingem uživatele varovala americká FBI.

Problém je v tom, že každá konference (meeting) existuje na unikátní zkrácené URL a kdokoliv ji získá, může se stát jejím účastníkem. URL lidé často sdílí v e-mailech i na sociálních sítích, hodně se jich objevuje ve vyhledávání a některé jsou už z povahy veřejné. Zásadní problém je i v tom, že je lze snadno zkoušet odhadnout (mrkněte na Automated tool can find 100 Zoom meeting IDs per hour), takže ti, kdo chtějí škodit, se dostanou i do zcela privátních konverzací.

Řada lidí navíc sdílí i své PMI (Personal Meeting ID, unikátní identifikátor v Zoomu) a tím se kdokoliv může dostat do jakékoliv konverzace, kterou tito lidé mají.

Málokdo z uživatelů tuší, jak správně konferenci nastavit (že existují Waiting Rooms, že je možné omezit sdílení jen na jednoho uživatele, že je možné omezit účast pouze na přihlášené uživatele, uzamknout konferenci pro nové příchozí atd).

Zoom by měl brzy zavést možnost chránit konference heslem. U stávajících hesel v Zoomu si ale dávejte pozor: běžně je v čitelné podobě dával do odkazů. Ne každý odkaz je tedy možné někam posílat, natož sdílet na sociální sítě.

Komunikace mezi účastníky navíc není end-to-end šifrovaná (Zoom v marketingových materiálech tvrdil, že ano, nakonec ale byl nucen se za toto tvrzení omluvit). Koncové šifrování se objevuje jen u textového chatu, video a audio chráněné není, šifrování se používá pouze pro přenos.

Část komunikace byla navíc „omylem“ routována přes Čínu. Zoom to přestal dělat až poté, co na to někdo přišel. Součástí průchodu dat přes čínské servery bylo i to, že data se tím stala dostupná pro tamní operátory – vzhledem k tomu, že Zoom nemá koncové šifrování, bylo cokoliv, co prošlo přes čínské servery, volně dostupné pro případné další zpracování. Ne nezajímavé je i to, že šifrovací klíče pro komunikaci mimo Čínu jsou vydávány servery v Číně.

Bezpečnostní chyby

Alarmující je i množství bezpečnostních chyb a také to, že Zoom zcela běžně velmi kreativně používá metody malwaru, jak si na počítači zajistit potřebnou funkčnost. V roce 2019 se zjistilo, že si Zoom na počítače instaluje vlastní web server, který navíc nebylo možné odstranit a který mu umožňoval přidat účastníky do konference bez jejich vědomí.