Zoom este malware. In ultima saptamana, toate canalele online vuiesc despre vulnerabilitatile de securitate cu care se confrunta aplicatia de videoconferinta Zoom.
Compania a inregistrat o crestere de 535% a traficului zilnic in ultima luna, dar cercetatorii de securitate spun ca aplicatia este un „dezastru in confidentialitate”, un adevarat malware.
In timp ce oamenii s-au bucurat de simplitatea platformei, Zoom a recunoscut ca nu a fost pregatita pentru cresterea fara precedent a traficului din cauza pandemiei. Chiar si politicienii si alte personalitati, inclusiv premierul britanic, Boris Johnson, il folosesc pentru conferinte. In Romania, aplicatia este foarte mult folosita de elevi si de profesori.
Primul ministru al Marii Britanii, Boris Johnson, este cel care a starnit marti ingrijorari legate de securitatea Zoom, cand a share-uit o captura de ecran a „primului cabinet digital” pe canalul sau de Twitter.
The Guardian face un review al celor mai grave vulnerabilitati Zoom, in top fiind infiltrarea hackerilor in timpul apelurilor video, lipsa de criptare end-to-end si defectele de Securitate.
Zoom-bombing
Pe 30 martie, FBI anunta ca investigheaza tot mai multe cazuri de deturnari video cunoscute sub denumirea de Zoom-bombing, prin care hackerii se infiltreaza in intalnirile video pentru a lansa amenintari sau mesaje rasiste. Intalnirile Zoom pot fi accesate printr-o adresa URL bazata pe numere scurte care pot fi usor generate si ghicite de hackeri, conform unui raport publicat de CheckPoint in ianuarie.
Nicio protectie End-to-end
Compania a fost nevoita sa admita ca, desi ofera in mod explicit utilizatorilor optiunea de a tine o conversatie „criptata” end-to-end si promoveaza criptarea end-to-end ca o caracteristica cheie a serviciului sau, de fapt nu ofera un astfel de lucru.
Mai exact, foloseste TLS, care sta la baza conexiunilor site-ului HTTPS care in mod sigur nu este o criptare end-to-end (E2E). Prin E2E se asigura ca toate comunicatiile sunt criptate intre echipamente, astfel incat nici macar compania care este gazda nu are acces la continutul conexiunii. Cu TLS, Zoom poate intercepta si decripta chaturile video si alte date.
Categoric, transmiterea datelor este cea mai vulnerabila zona a securitatii videoconferintei, din moment ce trebuie sa calatoreasca prin atatea retele publice si private pentru a ajunge la destinatia sa. Nivelul de criptare depinde de sensibilitatea datelor. Cel mai comun protocol de criptare este AES, recunoscut ca standard de securitate de NSA, care permite criptarea intregului continut al videoconferentei.
Defecte de securitate
O serie de defecte de securitate au fost raportate si in trecut. In 2019 s-a descoperit ca Zoom a ascuns un server web pe echipamentele utilizatorilor care ar permite ca utilizatorul sa fie adaugat la un apel fara permisiunea lui. Iar un bug descoperit la inceputul lunii aprilie, ar permite hackerilor sa preia controlul pe Mac-ul unui utilizator Zoom. Problemele pe Mac au fost, de fapt, semnalate inca din 2019 de Jonathan Leitschuh.
Arvind Narayanan, profesor asociat de informatica la Universitatea Princeton, compara Zoom cu software-ul malitios, afirmand ca: „Zoom este malware”.
Pe langa aceste defecte, un raport al Washington Post a aratat ca videoclipurile inregistrate prin software-ul aplicatiei au fost salvate pe un spatiu de stocare separat, fara parola. De fapt, clipurile pot fi gasite si descarcate de oricine cu o simpla cautare online. Filmul vizualizat de The Post include sesiuni de terapie privata, intalniri de afaceri in care se discuta finantele companiei si ore de predare care implica copii mici. Un alt videoclip a implicat un tutorial despre epilarea braziliana si a prezentat nuditatea.
Si, totusi, ce a facut ca amenii sa fie atrasi atat de mult de Zoom cand sunt si alte software-uri de video conferinta gratuite?
Conform Forbes, cele mai apreciate feature-uri de catre utilizatorii Zooom ar fi posibilitatea de a adauga un filtru de frumusete pentru a „reda” fata lipsita de Vitamina D si posibilitatea de a avea fundaluri personalizate si a genera astfel amuzamentul echipei.
Cu siguranta, insa, aceste feature-uri nu sunt sau nu ar trebui sa fie in topul preferintelor companiilor care folosesc video-conferinta in scop de business si nu ar trebui sa fie nici in topul scolilor care folosesc video-conferinta in scop educational. Pretul platit pentru a avea virtual vitamina D sau efecte comice poate fi prea mare…
Recomandam ca in aceasta perioada dificila in care lucram remote si suntem nevoiti sa ne conectam prin sisteme de videoconferinta, sa folosim solutii de colaborare video profesionale criptate, fara probleme de confidentialitate a datelor si posibilitatea de instalare si on-premise cu standarde de securitate.
Veracomp, distribuitor exclusiv LifeSize, Yealink si ClearOne in Romania si-a anuntat inca de luna trecuta angajamentul de a oferi, in urmatoarele luni, consultanta si suport gratuit responsabililor IT din institutiile si companiile care vor utiliza solutiile de colaborare video din portofoliul sau.
In acest sens, am deschis o linie speciala pentru suport colaborare la distanta: (004) 376.201.212. Suportul si cererea de acordare a licențelor gratuite sunt posibile și via e-mail la: عنوان البريد الإلكتروني هذا محمي من روبوتات السبام. يجب عليك تفعيل الجافاسكربت لرؤيته.. Link-urile pentru download GRATUIT sunt disponibile aici: https://www.veracomp.ro/solutii-veracomp/comunicatii-unificate/videoconferinta.