CERT-RO ги предупредува корисниците на „Зум“ може да ја загрозат безбедноста на вашите податоци

Автор: Јулијан Лука/Датум на објавување: 02-04-2020 16:04

cert-ro

CERT-RO привлекува внимание на апликацијата за зумирање, која се користи се почесто во овој период поради пандемијата на коронавирусите. Апликацијата има голем број преземања, особено на мобилни уреди, но не многумина знаат дека има голем број ранливости и скриени функции што можат да ја загрозат безбедноста на корисничките податоци.

Апликацијата „Зум“, софтвер посветен на видео повици помеѓу корисниците, претставува низа ранливости и скриени функции што можат да ја загрозат безбедноста на податоците, предупредува Националниот центар за одговор на инциденти во сајбер безбедност (CERT-RO), во информација објавена во четвртокот, самостојно веб страна.

„Бидејќи се повеќе и повеќе луѓе се принудени да работат од далечина поради ограничувањата наметнати од ширењето на COVID-19, софтверот за видео повици меѓу корисниците добива се поголема популарност. Ова е случај и со апликацијата # Зум, која има многу голем број преземања, особено на мобилни уреди. Она што корисниците не го знаат е дека апликацијата има голем број скриени ранливости и функции што можат да ја загрозат безбедноста на корисничките податоци. Кога некое лице иницира видео конференција и дејствува како домаќин, има можност да ја активира опцијата за следење на вниманието на другите учесници, добивајќи известувања ако не обрне внимание на екранот повеќе од 30 секунди. Без разлика дали корисниците читаат е-пошта, работат на датотека, извештај или дури не обрнуваат внимание и прават други активности на Интернет, домаќинот за видео повик добива известување за ова. Главниот проблем на оваа функција, специфичен за зумирање, е фактот дека учесниците не добиваат известување што укажува на тоа дека овој процес е активен и, следствено, тие не даваат согласност да ја следат нивната активност на овој начин “, објаснуваат специјалистите.

Според цитираниот извор, Зум зачувува .TXT датотека со пораки за разговор од видео состанок преку Интернет и информациите објавени на страницата за помош на апликацијата, зачуваниот разговор ќе вклучува само пораки од домаќинот и звучниците до сите учесници. „Сепак, не појаснува што ќе се случи со директните пораки меѓу учесниците“, посочува CERT-RO.

Апликацијата собира лични информации за корисниците

Всушност, врз основа на политиките за приватност, Зум собира информации за корисници, лични информации како име, адреса, адреса за е-пошта, телефонски број, наслов на работа, работодавач.

"Дури и ако не создадете сметка за зумирање и да се поврзете со друга услуга, апликацијата сепак ќе собира информации како што се видот на користениот уред и IP адресата. Безбедносните експерти неодамна идентификуваа Зум погрешно споделувајќи информации со Фејсбук. Поточно, апликацијата Зум на iOS користеше комплет за развој (SDK) што се користеше за автентикација преку сметката на Фејсбук, што се покажа дека известува информации за социјалната мрежа, дури и ако корисникот не извршил автентикација преку сметката на Фејсбук. Во меѓувреме, овој SDK е исклучен од апликацијата, но корисниците кои немаат ажурирани ажурирања сè уште можат да бидат засегнати. Зумот има свој метод за шифрирање од крај до крај (E2EE), што ги доведува во заблуда корисниците бидејќи користениот метод за шифрирање е безбедност на транспортниот слој (TLS), истиот метод што се користи за заштита на врските HTTPS. TLS штити врски од пресретнување од неовластено лице, но не и од сервери за зумирање. E2EE треба да дозволи дешифрирање на информации само кога ќе стигне до примателот, но во овој случај е дозволено и дешифрирање од серверот за зумирање “, објаснуваат претставниците на CERT-RO.

Избегнувајте автентикација на Фејсбук и ажурирајте ја апликацијата

Експертите тврдат дека во 2019 година, консултант за компјутерска безбедност открил дека Зум создал локален веб-сервер на Mac-уредот на корисникот, што allowed дозволува на апликацијата да ги заобиколи безбедносните карактеристики во интернет прелистувачот Safari 12. мрежата не беше спомената во ниту една официјална документација за зумирање и се користеше за да се заобиколи активирањето на скокачки прозорец, што Safari 12 го прикажа пред да ја вклучи камерата на уредот.

"За жал, овој далечински веб-сервер не беше правилно обезбеден. Скоро секоја веб-страница може да комуницира со неа. Резултатот од оваа акција беше дека зумот, всушност, им дозволи на малициозни веб-страници да ја преземат камерата на вашиот Mac уред, без да издадат предупредување во врска со ова “, подвлекува цитираниот извор.

Друга ранливост откриена од експертите е дека зумот им овозможува на сите корисници стандардно да ја користат функцијата за споделување екран. „Ако домаќинот не ја оневозможи оваа одлика, малициозни луѓе можат да ја нарушат видео конференцијата со дистрибуција на срамна содржина. Зумомбирањето генерално може да се случи кога линкот за пристап до видео конференција ќе биде објавен во јавноста. Веќе имало случаи во САД, во кои курсевите во образовната средина биле нарушени или киднапирани од напаѓачите “, наведува ЦЕРТ-РО.

Со цел корисниците на Интернет да ги заштитат своите податоци при користење на зумирање, експертите препорачуваат користење два уреди за време на повиците преку оваа апликација, избегнување на автентикација на Фејсбук, користење на апликацијата само со ажурирани ажурирања и заштита на повиците од зоомбирање.

Пред да започнете јавна видео конференција, одете во менито „Поставки“ и променете ја опцијата „Споделување екран“ во поставката „Само домаќин“, исклучете „Придружи се пред домаќинот“, исклучете го „Дозволете им на повторно отстранување на отстранетите учесници“ и оневозможете „Трансфери на датотеки“, забележува CERT-RO.

Исто така, ако видот на конференцијата дозволува, ова дејство мора да биде заштитено со поставување лозинка за пристап.