A CERT-RO figyelmezteti a Zoom-ot használókat, hogy veszélyeztethetik az Ön adatbiztonságát
Szerző: Iulian Luca/Megjelenés dátuma: 2020.04.02. 16:04
A CERT-RO felhívja a figyelmet a koronavírus-járvány miatt ebben az időszakban egyre gyakrabban használt Zoom alkalmazásra. Az alkalmazás nagyszámú letöltéssel rendelkezik, főleg mobileszközökön, de nem sokan tudják, hogy számos sérülékenysége és rejtett funkciója van, amelyek veszélyeztethetik a felhasználói adatok biztonságát.
A felhasználók közötti videohívásokra szánt Zoom alkalmazás számos sebezhetőséget és rejtett funkciót mutat be, amelyek veszélyeztethetik az adatbiztonságot - figyelmeztet a csütörtökön önállóan közzétett tájékoztatásban a Kiberbiztonsági Esetekre Válaszoló Nemzeti Központ (CERT-RO). honlap.
"Mivel egyre több ember kénytelen távolról dolgozni a COVID-19 terjedésének korlátozásai miatt, a felhasználók közötti videohívási szoftverek egyre népszerűbbek. Ez a helyzet a #Zoom alkalmazással is, amely nagyon sok letöltéssel rendelkezik, főleg mobileszközökön. A felhasználók nem tudják, hogy az alkalmazás számos rejtett biztonsági réssel és funkcióval rendelkezik, amelyek veszélyeztethetik a felhasználói adatok biztonságát. Amikor egy személy videokonferenciát kezdeményez és házigazdaként működik, lehetősége van aktiválni azt a lehetőséget, hogy nyomon kövesse a többi résztvevő figyelmét, értesítést kapva, ha 30 másodpercnél tovább nem figyel a képernyőre. Függetlenül attól, hogy a felhasználók e-mailt olvasnak, fájlokon, jelentéseken dolgoznak, vagy nem is figyelnek, és egyéb tevékenységeket végeznek az interneten, a videohívások fogadója értesítést kap erről. Ennek a Zoom-specifikus funkciónak a fő problémája az a tény, hogy a résztvevők nem kapnak értesítést arról, hogy ez a folyamat aktív, következésképpen nem adják beleegyezésüket tevékenységük ilyen módon történő ellenőrzésére "- magyarázzák a szakemberek.
Az idézett forrás szerint a Zoom egy .TXT fájlt tárol csevegési üzenetekből egy online videotalálkozóról, és az alkalmazás súgó oldalán közzétett információk szerint a mentett csevegés csak a gazda és a hangszórók üzeneteit tartalmazza az összes résztvevő számára. "Azonban nem tisztázza, hogy mi lesz a résztvevők közötti közvetlen üzenetekkel" - mutat rá a CERT-RO.
Az alkalmazás személyes adatokat gyűjt a felhasználókról
Valójában az adatvédelmi irányelvek alapján a Zoom információkat gyűjt a felhasználókról, személyes adatokat, például nevet, címet, e-mail címet, telefonszámot, munkakört, munkáltatót.
"Még akkor is, ha nem hoz létre Zoom-fiókot és csatlakozik egy másik szolgáltatáshoz, az alkalmazás továbbra is információkat gyűjt, például a használt eszköz típusát és az IP-címet. Biztonsági szakértők nemrégiben megállapították, hogy a Zoom helytelenül osztotta meg az információkat a Facebook-szal. Pontosabban, az iOS rendszeren a Zoom alkalmazás fejlesztői készletet (SDK) használt a hitelesítéshez a Facebook-fiókon keresztül, amelyről kiderült, hogy információkat jelent a közösségi hálózaton, még akkor is, ha a felhasználó nem hitelesített a Facebook-fiókon keresztül. Időközben ezt az SDK-t kizárták az alkalmazásból, de azok a felhasználók, akik nem rendelkeznek naprakész frissítésekkel, továbbra is érintettek lehetnek. A Zoom saját, végpontok közötti titkosítású (E2EE) titkosítási módszerrel rendelkezik, amely félrevezeti a felhasználókat, mert az alkalmazott titkosítási módszer a szállítási réteg biztonsága (TLS), ugyanaz a módszer, amelyet a HTTPS kapcsolatok védelmére használnak. A TLS védi a kapcsolatokat az illetéktelen személyek általi elfogástól, a Zoom szerverek ellen azonban nem. Az E2EE csak akkor engedélyezheti az információk visszafejtését, amikor eléri a címzettet, de ebben az esetben a Zoom szerver általi visszafejtés is megengedett "- magyarázzák a CERT-RO képviselői.
Kerülje a Facebook-hitelesítést, és frissítse az alkalmazást
Szakértők azt állítják, hogy 2019-ben egy kiberbiztonsági tanácsadó felfedezte, hogy a Zoom létrehozott egy helyi webszervert a felhasználó Mac eszközén, amely lehetővé tette az alkalmazás számára, hogy megkerülje a Safari 12 internetes böngésző biztonsági funkcióit. A web egyetlen hivatalos Zoom dokumentációban sem került említésre, és arra használták, hogy megkerüljék egy felugró ablak aktiválását, amelyet a Safari 12 mutatott meg, mielőtt bekapcsolta volna az eszköz kameráját.
"Sajnos ez a távoli webszerver nem volt megfelelően védve. Szinte minden weboldal kölcsönhatásba léphet vele. Ennek az akciónak az volt az eredménye, hogy a Zoom valójában lehetővé tette, hogy a rosszindulatú webhelyek átvegyék a Mac-eszköz kameráját, anélkül, hogy erre figyelmeztetést adnának "- hangsúlyozza az idézett forrás.
A szakértők által feltárt másik sebezhetőség arra utal, hogy a Zoom alapértelmezés szerint minden felhasználó számára lehetővé teszi a megosztás képernyő funkció használatát. "Ha a gazdagép nem tiltja le ezt a funkciót, akkor a rosszindulatú emberek zavaró tartalom terjesztésével megzavarhatják a videokonferenciát. Nagyításra általában akkor kerülhet sor, amikor a videokonferencia-hozzáférési linket nyilvánosságra hozzák. Az Egyesült Államokban már előfordultak olyan esetek, amikor az oktatási környezetben zajló tanfolyamokat a támadók megzavarták vagy eltérítették "- állítja a CERT-RO.
Annak érdekében, hogy az internetfelhasználók megvédjék adataikat a Zoom használatakor, a szakértők azt javasolják, hogy két eszközt használjanak az alkalmazáson keresztüli hívások során, kerüljék a Facebook-hitelesítést, az alkalmazást csak naprakész frissítésekkel használják, és védjék a hívásokat a Zoombombing ellen.
Nyilvános videokonferencia megkezdése előtt lépjen a Beállítások menübe, és módosítsa a Képernyőmegosztás opciót a "Csak hoszt" beállításra, kapcsolja ki a "Csatlakozás a hoszt előtt" lehetőséget, kapcsolja ki az "Eltávolított résztvevők újbóli csatlakozásának engedélyezése" lehetőséget, és tiltsa le a "File Transfer" -t - jegyzi meg a CERT-RO.
Továbbá, ha a konferencia típusa lehetővé teszi, ezt a műveletet egy hozzáférési jelszó beállításával kell megvédeni.