Jak už tom ubývá, pokud relativně malá služba během několika týdnů neuvěřitelným způsobem vyroste, začnou se objevovat problémy, které v minulosti nikdo neřešil. Aktuálně se to týká amerického telekonferenčního Zoomu, o jehož lapáliích jsme na Živě.cz psali už několikrát.
Dost bylo skypování, teď se zoomuje. Co stojí za popularitou komunikátoru Zoom?
Doposud na některé zranitelnosti Zoomu upozorňovali především bezpečnostní experti ze soukromého sektoru, postupně se ale přidávají i vládní agentury jak z USA, tak ze zbytku světa.
Aktuálně dostal Zoom stopku u státních zaměstnanců na Tchaj-wanu, varuje před ním ale i český NÚKIB, respektive jeho výkonná sekce NCKB, a už dříve i některé instituce v zámoří.
„Doporučujeme důrazně zvážit případné použití služby ke komunikaci obsahující citlivé informace,“ píše NÚKIB
Chyb je hned několik počínaje neoprávněným vstupem do cizích hovorů (zoombombing), bezpečnostních zranitelností ve Windows i MacOS a konče absencí kompletního end-to-end šifrování, které je dnes u podnikových telekonferencí už standardem.
Zoom si je svých přešlapů vědom a stejně tak dobře ví, že pokud okamžitě nesjedná nápravu, jeho popularita by se mohla brzy zlomit. Šéf a zakladatel služby Eric. Yuan proto už zkraje měsíce na blogu oznámil, že se v příštích třech měsících bude veškerý vývoj orientovat na opravu chyb.
Plné znění varování Národního úřadu pro kybernetickou a informační bezpečnost:
Upozornění na rizika online konferenčních služeb
V současné době, kdy mnoho lidí pracuje z domu a je odkázána na online komunikaci, upozorňujeme na rizika spojená s používáním audio a video komunikačních služeb. Ty mohou být lákavým cílem útočníků k odposlechu citlivých informací, nebo vydávání se za spolupracovníky, a je tedy třeba dbát zvýšené opatrnosti při ochraně informací.
Zejména pak upozorňujeme na zranitelnosti služby Zoom, která se během aktuální situace stala velmi populárním řešením pro videokonference. Služba je momentálně častým cílem útoků, pokusů o neoprávněné připojení do hovoru (tzv. Zoombombing), a měla aktuálně odhalené závažné zranitelnosti ve Windows i MacOS, které potenciálně umožňovaly útočníkům i neoprávněný přístup k cílovému počítači. Tyto zranitelnosti jsou již v aktuální verzi opraveny, mohou se nicméně stále týkat starších verzí klienta.
Doporučujeme důrazně zvážit případné použití služby ke komunikaci, obsahující citlivé informace, a to jak z důvodů výše uvedených, tak z důvodu absence podpory skutečného end-to-end šifrování. Zoom dříve tuto funkci propagoval i v popisu služby. Komunikace je šifrována, ovšem nikoliv přímo mezi komunikujícími stranami, ale mezi uživatelem a servery Zoom. Zoom deklaruje, že nemá prostředky k dešifrování ani přístupu k hovorům, komunikaci nicméně takto nelze považovat za 100% důvěrnou.
Platforma také pro každou konferenci přidělovala ID, pomocí kterého se účastníci připojovali. Toto ID, tvořené 9 až 11 čísly, ale bylo možné odhadnout a neoprávnění uživatelé tak mohli vstoupit do cizích konferencí. Tuto zranitelnost už Zoom opravil změnou způsobu generování ID. Před neoprávněným vstupem do konference lze také zabránit použitím funkce Waiting room během zakládání videokonference, každý účastník před připojením pak musí být schválen.
Obecně doporučujeme obezřetnost při vzdálené komunikaci - důsledně ověřovat identitu druhé strany, neotvírat neověřené odkazy a přílohy, a to zejména od neznámých osob, a pokud je to možné, používat spolehlivé end-to-end šifrování.
Zdroje: