Hlavní navigace

Chyby a problémy s ochranou soukromí. Co je dobré vědět, než budete používat Zoom

Autor: Zoom
Videokonferenční služba Zoom se s příchodem koronaviru stala prakticky nejpoužívanějším nástrojem pro komunikaci hlasem a obrazem. S 535% růstem denního užívání se ale objevila záplava problémů.
Daniel Dočekal
Doba čtení: 5 minut

Sdílet

Zoom je software pro „telefonování“ přes internet mezi jednotlivci i ve skupinách (meeting, konference). S příchodem koronavirové epidemie se prakticky všechny aplikace a programy tohoto druhu dostaly do popředí zájmu a Zoom je mezi nimi na špičce. 

Má přitom za sebou historii bezpečnostních nedostatků, nezodpovědného přístupu k soukromí uživatelů a opakovaně byl pro uživatele bezpečnostní hrozbou. Vlastně ne úplně neoprávněně ho v některých médiích označili za „malware“. Co všechno byste měli o Zoomu vědět, než ho budete používat?

Nebezpečná komunikace

Jedním z prvních nově zveřejněných problémů Zoomu se stal tzv. zoombombing. Jde o situaci, kdy se do videokonference dostávají cizí lidé a šíří tam nevhodný obsah – rasové urážky, vyhrožování, pornografii a řadu dalších věcí. Podobné aktivity se rozrostly do tak velkých rozměrů, že 30. března před zoombombingem uživatele varovala americká FBI.

Problém je v tom, že každá konference (meeting) existuje na unikátní zkrácené URL a kdokoliv ji získá, může se stát jejím účastníkem. URL lidé často sdílí v e-mailech i na sociálních sítích, hodně se jich objevuje ve vyhledávání a některé jsou už z povahy veřejné. Zásadní problém je i v tom, že je lze snadno zkoušet odhadnout (mrkněte na Automated tool can find 100 Zoom meeting IDs per hour), takže ti, kdo chtějí škodit, se dostanou i do zcela privátních konverzací. 

Řada lidí navíc sdílí i své PMI (Personal Meeting ID, unikátní identifikátor v Zoomu) a tím se kdokoliv může dostat do jakékoliv konverzace, kterou tito lidé mají.

Málokdo z uživatelů tuší, jak správně konferenci nastavit (že existují Waiting Rooms, že je možné omezit sdílení jen na jednoho uživatele, že je možné omezit účast pouze na přihlášené uživatele, uzamknout konferenci pro nové příchozí atd).

Zoom by měl brzy zavést možnost chránit konference heslem. U stávajících hesel v Zoomu si ale dávejte pozor: běžně je v čitelné podobě dával do odkazů. Ne každý odkaz je tedy možné někam posílat, natož sdílet na sociální sítě.

Komunikace mezi účastníky navíc není end-to-end šifrovaná (Zoom v marketingových materiálech tvrdil, že ano, nakonec ale byl nucen se za toto tvrzení omluvit). Koncové šifrování se objevuje jen u textového chatu, video a audio chráněné není, šifrování se používá pouze pro přenos. 

Část komunikace byla navíc „omylem“ routována přes Čínu. Zoom to přestal dělat až poté, co na to někdo přišel. Součástí průchodu dat přes čínské servery bylo i to, že data se tím stala dostupná pro tamní operátory – vzhledem k tomu, že Zoom nemá koncové šifrování, bylo cokoliv, co prošlo přes čínské servery, volně dostupné pro případné další zpracování. Ne nezajímavé je i to, že šifrovací klíče pro komunikaci mimo Čínu jsou vydávány servery v Číně.

Bezpečnostní chyby

Alarmující je i množství bezpečnostních chyb a také to, že Zoom zcela běžně velmi kreativně používá metody malwaru, jak si na počítači zajistit potřebnou funkčnost. V roce 2019 se zjistilo, že si Zoom na počítače instaluje vlastní web server, který navíc nebylo možné odstranit a který mu umožňoval přidat účastníky do konference bez jejich vědomí.

Nejnovější problém je velmi podobný a pro uživatele Maců znamenal, že byl ohrožen celý počítač a útočník mohl získat přístup ke kameře, mikrofonu a počítač hacknout. Chybu v roce 2019 Zoom opravil až po velmi dlouhé době a velké mediální pozornosti. Aktuální chybu opravili už rychleji. Zůstává ale riziko, že kdykoliv se jim to bude hodit, zkusí něco podobného.

Zoom byl také nucen velmi rychle opravit chybu ve Windows, která umožňovala účastníkům chatu vykrádat přihlašovací údaje do Windows. Stačilo do chatu vložit odkaz (UNC path injection).

Žádné soukromí

Velmi nepříjemné může být i to, že záznamy z konferencí jsou často dostupné cizím lidem – stačí pouze odhadnout adresu archivu. Odhadování je navíc velmi snadné, protože názvy archivů jsou předvídatelné. Problém je právě v pojmenovávání a v lidech, kteří tyto záznamy ukládají na nevhodná místa (nejde tedy o archivy uložené na serverech Zoomu). Zda Zoom napraví pojmenovávání záloh, není prozatím jasné.

Záznamy z konferencí jsou zároveň také věc, o které účastníci prakticky netuší. Nevědí, že hostitel po ukončení konference získá záznam, a to včetně privátního chatování mezi účastníky konference. V nápovědě je to nicméně popsáno.

Vlnu kritiky si Zoom vysloužil i za šmírování uživatelů – pořadatel konference mohl zjišťovat, zda ostatní hosté konferenci sledují. Zoom mu poskytoval informace o tom, zda nepřepnuli na jiné okno. Jakkoliv to zní jako praktický nástroj, dělo se to (jak jinak) bez vědomí účastníků. Po kritice Zoom funkčnost odstranil.

Zásadní problém se objevil i u mobilní aplikace pro iOS. Ta posílala informace Facebooku – opět bez vědomí uživatelů, a navíc o všech uživatelích, včetně těch, kteří nemají na Facebooku účet. Součástí předávaných informací byla i řada údajů o telefonu, inzertní identifikátor nebo poloha. Zoom samozřejmě tvrdil, že je to pro dobro uživatelů, aby jim mohl dodávat lépe inzerci. Pod tlakem nakonec ustoupil a data už aplikace neposílá. Tady mimochodem platí i to, co byste měli dodržovat už dlouho: nepoužívejte Facebook pro přihlašování ani zakládání účtů.

Poměrně pikantní byla i schopnost Zoomu dolovat informace z profilů uživatelů na LinkedIn. Vše automaticky, bez vědomí uživatelů, a dokonce i v případě, kdy Zoom používal někdo anonymně. Celé to bylo propojené s LinkedIn Sales Navigator a vydolované informace byly dostupné pro ostatní účastníky konference. Tuto funkčnost po kritice Zoom také odstranil.

Poslední věc je v dnešní době nějak tak skoro automatická. Zoom může kdykoliv a komukoliv předat informace o uživatelích.

MM_influenceri Pavelcova

Používat, nebo nepoužívat?

Nelze se ani příliš divit, že ve firmě SpaceX Elona Muska Zoom kompletně zakázali a totéž udělali v NASA. Celé to nakonec vedlo k tomu, že šéf Zoomu se omluvil a slíbil, že problémy budou urychleně řešit. Otázkou je, zda lze něčemu takovému věřit u společnosti, která má nepoctivé chování v (jak se tomu dnes říká) DNA. Trochu tomu odpovídá i to, že Zoom se nové bezpečnější možnosti chystá nasadit pouze pro platící uživatele.

Pro uživatele jsou výše popsané potíže dost zásadním problémem. Plyne z toho to, že Zoom se ochotně chová jako malware a soukromí a bezpečnost jej příliš nezajímá. Rychlé rozšíření Zoomu je bohužel hodně v rozporu s tím, že byste Zoom spíše neměli používat. Ani jako jednotlivec, natož jako firma.