🚘 🤰🏾 👨🏾‍⚕️ Zoom - banale Nachlässigkeit oder gezielte Spionage? 👆 🙅🏽 🧑🏽‍🤝‍🧑🏼

Inmitten der Zeit der Selbstisolation ist die berühmte amerikanische Konferenzanwendung Zoom, deren Popularität sich aufgrund des massiven Übergangs zu Fernarbeit und Ausbildung im vergangenen Monat verzwanzigfacht hat, in den Mittelpunkt der Aufmerksamkeit gerückt, und Zoom hat sich in Bezug auf Downloads zu einem selbstbewussten ersten Platz in den USA entwickelt . Er erregte jedoch nicht so viel Aufmerksamkeit mit einer Zunahme der Nutzerzahl, sondern mit Skandalen im Zusammenhang mit dem massiven Verlust von Unternehmens- und persönlichen Daten von Zoom-Nutzern in das soziale Netzwerk Facebook sowie Tausenden von Aufzeichnungen persönlicher Videokonferenzen, die auf YouTube und Vimeo zu Open Access zusammengeführt wurden.

Was ist Zoom und wie funktioniert es?

Der Hauptzweck von Zoom ist die Durchführung von Videokonferenzen. Die Anwendung bietet Unterstützung für Videostreams in HD-Qualität und gleichzeitige Verbindung zum Gespräch mit bis zu hundert Teilnehmern. Benutzer lieben dieses Programm auch für die Möglichkeit, den Bildschirm freizugeben und Chats zu erstellen, in denen Sie nicht nur verschiedene Anhänge anhängen, sondern auch mit so beliebten Cloud-Diensten wie Google Disc und Dropbox arbeiten können. Darüber hinaus können Sie mit der Anwendung den Zugriff auf den Bildschirm eines Mobilgeräts öffnen (Freigabefunktion). Von den zusätzlichen Chips gibt es auch eine Funktion zum Heben der Hand während eines Gesprächs, um eine Frage zu stellen.

Trotz der guten Funktionalität hat Zuma große Probleme, die Privatsphäre der Benutzer zu gewährleisten. Daher unterstützt die Anwendung keine End-to-End-Datenverschlüsselung und weist andere schwerwiegende Sicherheitslücken auf, die nur dadurch entstanden sind, dass einige Funktionen hinzugefügt wurden.

Attention Tracking der Teilnehmer: Ich folge Ihnen

Mit der Funktion zur Verfolgung der Aufmerksamkeit von Teilnehmern können Sie beispielsweise diejenigen berechnen, die durch fremde Angelegenheiten vom Gespräch abgelenkt werden. Dies scheint natürlich für Unternehmensleiter und Trainer nützlich zu sein, aber die Nachteile dieser Funktion sind viel schwerwiegender, da Tracking-Tracker (Skripte, die eine Fernüberwachung aller Teilnehmer durchführen) verwendet werden, mit denen das Programm die Sicherheitseinstellungen im Browser umgehen und eine inkonsistente Überwachung durchführen kann durch den Benutzer und seine Handlungen über die Webcam “, die wiederholt Fragen von Experten zum Schutz personenbezogener Daten aufgeworfen hat.

Nachdem die Entwickler von Zoom Video Communications die Kritik an der Aufmerksamkeitsverfolgung von Teilnehmern durch Cybersicherheitsexperten gehört hatten, beschlossen sie, diese Funktion zu entfernen , wie auf der Website der App berichtet : "Am 2. April 2020 haben wir die Funktion zur Verfolgung der Aufmerksamkeit der Benutzer entfernt, um die Sicherheit und den Datenschutz unserer Kunden zu gewährleisten." .

Facebook SDK: Zuckerberg klopft an

Ein weiteres Problem, das die Anwendungsentwickler lösen mussten, um das Vertrauen der Benutzer wiederzugewinnen, war, dass Zoom automatisch eine Reihe von Daten an Facebook übermittelte, das die erhaltenen Informationen für Werbezwecke analysiert und verwendet: Laut DuckDuckGo (einer Suchmaschine, die sich dem Tracking widersetzt) Nutzerdaten), Facebook-Werbetracker werden auf 36% aller Websites im Internet platziert und sind in diesem Indikator mit 85% nach Google an zweiter Stelle.

Welche Benutzerdaten hat Zoom übertragen? Zunächst der Zeitpunkt der Eingabe der Anwendung, der Standort des Benutzers und der Gerätetyp. Zu den gesendeten Informationen gehörte auch die Werbe-ID, nach der Websites im Zusammenhang mit Facebook den Nutzern zielgerichtete Anzeigen zeigen.

Das Problem für Zoom-Entwickler war jedoch, dass ihre iOS-Anwendung „Facebook“ -Daten nicht nur über Benutzer sendete , die Konten in diesem sozialen Netzwerk hatten, sondern auch über diejenigen, die überhaupt nicht auf Facebook registriert waren. Letzteres wurde in der Benutzervereinbarung festgelegt es war in keiner Form, das heißt, die Tatsache der unbefugten Übermittlung von Informationen ist offensichtlich: Lesen, Spionage.

Zoom reagierte auf Beschwerden von Nutzern und die Entwickler entfernten den Facebook SDK-Code aus ihrem Programm, aber die Amerikaner begannen, in großer Zahl Klagen gegen das Unternehmen einzureichen und beschuldigten es, gegen die lokalen Datenübertragungsgesetze verstoßen zu haben. Die Eigentümer von Zuma haben eine einfache Sache nicht berücksichtigt: Das Facebook-Tracking wird erst nach der Aktualisierung der Anwendung deaktiviert, sodass das Unternehmen alle Kunden zur Verwendung der neuen Version von Zoom verpflichten musste.

Vertraulichkeit? Nein, nicht gehört

Das Entfernen der Aufmerksamkeitsverfolgung für Teilnehmer und des Facebook-SDK aus der Anwendung ist eine lobenswerte, wenn auch verspätete Initiative von Zoom Video Communications. Dies hat jedoch das Sicherheitsproblem nicht gelöst: Tatsache ist, dass Zoom einen Wagen und einen kleinen Wagen hat.

In den Datenschutzbestimmungen von Zoom heißt es daher ausdrücklich, dass Werbepartner (z. B. Google Ads und Google Analytics) des Dienstes automatisch „einige Informationen“ über Benutzer sammeln, wenn diese die Produkte des Unternehmens verwenden. Und welche Art von Informationen ist nicht angegeben. Folgendes schreibt Doc Searls, einer der Computer-Sicherheitsforscher:

„Zoom beschäftigt sich mit Werbung und im schlimmsten Fall: Das Unternehmen lebt von den gesammelten persönlichen Daten der Benutzer. Noch erschreckender ist jedoch die Tatsache, dass Zoom eine große Menge privater, vertraulicher Daten erfassen kann (z. B. ein Gespräch eines Arztes mit einem Patienten), und keiner der Teilnehmer des Gesprächs ist sich dessen bewusst. " Und weiter: "Wenn Ihr Browser sich um den Datenschutz kümmert (z. B. Brave, Firefox oder Safari), blockiert er höchstwahrscheinlich Werbe-Tracker. In Zoom können Sie jedoch nicht feststellen, ob Ihre persönlichen Daten erfasst werden und wie dies geschieht." .

Dann weist der Spezialist darauf hin, dass es bei Zoom bis vor kurzem nicht möglich war, die Erhebung personenbezogener Daten über Sie zu verweigern und diese an Dritte zu verkaufen (es liegt eine Verletzung nicht nur der Vertraulichkeit, sondern auch der Sicherheit vor):

"Die aktuelle Datenschutzrichtlinie von Zoom sieht noch schlechter aus als" Sie haben hier keine Privatsphäre ", fasst der Experte die Zoom-Richtlinie für Benutzer zusammen und definiert sie knapp:" Wir öffnen Ihren virtuellen Hals für Informationsvampire, die alles mit ihnen tun können. was auch immer Sie wollen. " (wörtlich: Wir setzen Ihre virtuellen Hälse Datenvampiren aus, die damit machen können, was sie wollen ).

Aktualisierung der Datenschutzrichtlinie

Eine Flut von Kritik zwang Zoom Video Communications immer noch, seine Datenschutzrichtlinie zu überarbeiten, und am 29. März erschien eine aktualisierte Version des Textes (https://zoom.us/privacy), in der zu Beginn ausdrücklich angegeben wird: „Wir verkaufen Ihre persönlichen Daten nicht. Egal, ob Sie ein Unternehmen, eine Bildungseinrichtung oder ein einzelner Benutzer sind, wir verkaufen Ihre Daten nicht. “

Der nächste wichtige Punkt: „Ihre Besprechungen gehören nur Ihnen. Wir verfolgen oder speichern sie nicht nach dem Meeting, es sei denn, der Konferenzorganisator zeichnet sie auf und speichert sie. “

Ein weiterer interessanter Punkt: "Zoom sammelt nur die Benutzerdaten, die für die Bereitstellung von Zoom-Diensten für Sie erforderlich sind. Beispielsweise erfassen wir Informationen wie die IP-Adresse des Benutzers sowie Informationen über das Betriebssystem und das Gerät ..."

Und schließlich: „Wir verwenden die Daten, die wir aus Ihrer Nutzung unserer Programme erhalten, nicht für Werbung. Wir verwenden die Daten, die wir von Ihnen erhalten, wenn Sie unsere kommerziellen Websites wie zoom.us und zoom.com besuchen. Sie können Ihre eigenen Cookie-Einstellungen steuern, wenn Sie unsere kommerziellen Websites besuchen. “

Es wäre möglich, dies abzurunden: zu sagen, dass die Jungs großartig sind und den aktualisierten Zoom jedem empfehlen, der sich um ihre Sicherheit im Internet kümmert, aber hier gibt es eine Nuance und im Gegensatz zum bekannten Witz nicht einmal eine.

Andere Schwachstellen

Große Probleme erwarten Benutzer von Windows, von denen die überwiegende Mehrheit der Welt. Es stellte sich heraus, dass Zoom UNC-Pfade in Links konvertiert, dh Pfade ... in Dateien unter Windows. (https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/). Wenn Sie solche Links verwenden, die Bilder, Audioaufnahmen und andere Mediendateien enthalten, ist es für einen Hacker nicht schwierig, Hashes zu knacken und Zugriff auf Zoom-Benutzeranmeldeinformationen zu erhalten. Das Unternehmen ist sich dieser Sicherheitsanfälligkeit bewusst, es wurden jedoch bisher keine Korrekturen am Anwendungscode vorgenommen.

Zuvor hatte „Zoom“ einen weiteren Schlag von der Nachrichtenermittlungsseite von The Intercept erhalten, auf der am 31. März ein Artikel erschien, dass die Videos in Zoom nicht ordnungsgemäß verschlüsselt sind und das Unternehmen selbst Kommunikationssitzungen seiner Benutzer anzeigen kann. Und das Fehlen einer End-to-End-Verschlüsselung führt dazu, dass sich Außenstehende in Gespräche einmischen können: Im Jahr 2020 gewann das sogenannte „Zoombombing“ große Popularität, als Fremde verschiedene Klassen und Unternehmensvideokonferenzen mit dem humorvollen Ziel „eröffneten“, „Streiche“ zu arrangieren und Sendungen in Chaos zu verwandeln ( einschließlich der Ausstrahlung pornografischer Inhalte an das gesamte Publikum). Es ist leicht zu erraten, dass solche Zeichnungen das harmloseste sind, was Benutzern in Zoom passieren kann.

Zumovskaya "Erdbeere" und Elon Musk

Neulich berichtete die amerikanische Ausgabe der Washington Post über Tausende von öffentlich zugänglichen Zoom-Gesprächen , die auf YouTube und Vimeo veröffentlicht wurden. Journalisten der Veröffentlichung, die sich diese Materialien angesehen hatten, berichteten, dass eine Reihe von Gesprächen, die mit dem Netzwerk „zusammengeführt“ wurden, vertrauliche Informationen enthielten: Namen, Telefonnummern, Joblisten, Finanzberichte privater Unternehmen sowie personenbezogene Daten von Kindern, die in Online-Kursen hervorgehoben wurden, die heute massiv abgehalten werden auf der ganzen Welt wegen Quarantäne. In vielen Videos werden zutiefst persönliche, intime Gespräche geführt und sogar Nacktheit präsentiert (wie zum Beispiel der Lehrer, der in einem der Chats ein Epilationstraining durchführt).

Die Situation wird durch die Tatsache weiter verschärft, dass sogar versteckte Datensätze auf den Servern von Zuma selbst angezeigt werden können: Intelligente Benutzer können zufällige Videos mit Standardnummerierung öffnen, wobei Zoom alle Materialien kennzeichnet. Gleichzeitig gaben viele der Opfer des Videos, mit denen die Reporter der Washington Post kommunizieren konnten, an, dass sie sich nicht einmal vorstellen konnten, wie ihre privaten Gespräche gemeinfrei werden könnten.

Noch vor den Skandalen mit der „Entladung“ von Videos in das Netzwerk verbot Ilon Mask seinen Mitarbeitern , Zoom zu verwenden. Der Leiter der SpaceX- und Tesla-Unternehmen stellte fest, dass der Dienst ernsthafte Probleme mit Datenschutz und Sicherheit hat, und empfahl, E-Mail und Telefon für die Unternehmenskommunikation zu verwenden. Führungskräfte von SpaceX haben am 28. März 2020 den Zoom-Zugriff für ihre Mitarbeiter blockiert.

NASA und Google auch gegen Zoom

Die Sprecherin der NASA, Stephanie Schirholz, sagte am selben Tag, dass die US-Raumfahrtbehörde ihren Mitarbeitern auch die Verwendung von Zoom untersagt. Am 30. März gab das FBI-Büro in Boston eine Warnung zur Verwendung von Zoom heraus: Mitarbeitern war es verboten, Besprechungen auf der Website öffentlich zu machen oder Links zu teilen.

Von den neuesten Nachrichten für den Zuma, die nicht erfreulich waren: Google hat die Desktop-Anwendung Zoom aufgegeben. Reuters berichtet, dass Google die Verwendung der Anwendung auf den Laptops seiner Mitarbeiter seit dem 8. April verboten hat, unter Berufung auf Sicherheitsbedenken von Zoom. José Castaneda, Vertreter des Unternehmens, das die größte Suchmaschine der Welt verwaltet, sagte: „Kürzlich hat unser Sicherheitsdienst Mitarbeiter, die Zoom Desktop Client verwenden, darüber informiert, dass dieses Programm auf Unternehmenscomputern nicht mehr unterstützt wird, da es nicht unseren Sicherheitsstandards für Anwendungen entspricht, die von Mitarbeitern des Unternehmens verwendet werden . Google erlaubt jedoch weiterhin die Verwendung von Zoom über mobile Apps und Browser . “

Sie versprachen, sich zu bessern ...

Zoom Video Communications behauptet, dass Probleme mit Datenlecks aufgetreten sind, weil die Anwendungsserver im letzten Monat nicht für einen solchen Zustrom von Benutzern bereit waren. Und der CEO des Unternehmens, Eric Yuan, sprach in seinem Blog sogar ausführlich darüber und fügte hinzu, dass sie viel zu tun haben, um das Vertrauen der Menschen wiederherzustellen ( Link ).

Nun, wir wünschen den Jungs viel Glück!

Zoom - banale Nachlässigkeit oder gezielte Spionage?