🔫 🖕🏻 🤙 Zoom: ¿negligencia banal o espionaje selectivo? 🙆🏻 👵🏽 🤷🏾

En medio del período de autoaislamiento, la famosa aplicación de la conferencia estadounidense Zoom, cuya popularidad debido a la transición masiva al trabajo a distancia y la capacitación, se ha multiplicado por veinte en el último mes, se ha convertido en el centro de atención, y Zoom se ha convertido en un primer lugar seguro en los Estados Unidos en términos de descargas . Sin embargo, atrajo la atención no tanto con un aumento en el número de usuarios, sino con escándalos relacionados con la filtración masiva de datos corporativos y personales de usuarios de Zoom en la red social Facebook, así como miles de registros de videoconferencias personales fusionadas en acceso abierto en YouTube y Vimeo.

¿Qué es Zoom y cómo funciona?

El objetivo principal de Zoom es realizar videoconferencias, y la aplicación brinda soporte para la transmisión de video en calidad HD y al mismo tiempo conecta hasta cien participantes a la conversación. Además, a los usuarios les encanta este programa por la capacidad de compartir una pantalla y crear chats, donde no solo puedes adjuntar varios archivos adjuntos, sino también trabajar con servicios en la nube tan populares como Google Disc y Dropbox. Además, la aplicación le permite abrir el acceso a la pantalla de un dispositivo móvil (función para compartir). De las fichas adicionales, también hay una función de "levante la mano" durante una conversación para hacer una pregunta.

Pero, a pesar de la buena funcionalidad, Zuma tiene grandes problemas para garantizar la privacidad del usuario. Por lo tanto, la aplicación no admite el cifrado de datos de extremo a extremo y tiene otros agujeros de seguridad graves que surgieron solo porque se agregaron algunas funciones.

Seguimiento de atención de asistentes: te estoy siguiendo

Por ejemplo, la función de seguimiento de atención de asistentes le permite calcular a aquellos que se distraen de la conversación por asuntos extraños. Obviamente, esto parece útil para los ejecutivos y entrenadores de la compañía, pero las desventajas de esta función son mucho más serias, ya que utiliza rastreadores de seguimiento (scripts que realizan monitoreo remoto de todos los participantes), lo que permite que el programa "omita la configuración de seguridad en el navegador y realice un monitoreo inconsistente de por el usuario y sus acciones a través de la cámara web ", que ha planteado en repetidas ocasiones preguntas de expertos sobre la protección de datos personales.

Después de escuchar las críticas del seguimiento de atención de los asistentes por parte de expertos en ciberseguridad, los desarrolladores de Zoom Video Communications decidieron deshacerse de esta función, como se informó en el sitio web de la aplicación : "El 2 de abril de 2020, eliminamos la función de seguimiento de atención del usuario para garantizar la seguridad y privacidad de nuestros clientes" .

Facebook SDK: Zuckerberg knock knock

Otro problema que los desarrolladores de la aplicación tuvieron que resolver para recuperar la confianza del usuario fue que Zoom transmitió automáticamente una serie de datos a Facebook, que analiza y utiliza la información recibida con fines publicitarios: según DuckDuckGo (un motor de búsqueda que se opone al seguimiento datos del usuario), los rastreadores de publicidad de Facebook se ubican en el 36% de todos los sitios en Internet, y en este indicador solo es superado por Google con su 85%.

¿Qué datos de usuario transmitió Zoom? En primer lugar, el momento de ingresar a la aplicación, la ubicación del usuario, el tipo de dispositivo. También entre la información enviada se encontraba la ID de publicidad, según la cual los sitios relacionados con Facebook muestran anuncios dirigidos al usuario.

Pero el problema para los desarrolladores de Zoom fue que su aplicación para iOS envió datos de "Facebook" no solo sobre los usuarios que tenían cuentas en esta red social, sino también sobre aquellos que no estaban registrados en Facebook, y esto último estaba escrito en el acuerdo del usuario no fue de ninguna forma, es decir, el hecho de la transmisión no autorizada de información es evidente: lectura, espionaje.

Zoom respondió a las quejas de los usuarios, y los desarrolladores eliminaron el código SDK de Facebook de su programa, pero los estadounidenses comenzaron a presentar demandas contra la compañía en grandes cantidades, acusándola de violar las leyes locales de transferencia de datos. Los propietarios de Zuma no tuvieron en cuenta una cosa simple: el seguimiento de Facebook se deshabilita solo después de actualizar la aplicación, por lo que la empresa tuvo que obligar a todos sus clientes a usar la nueva versión de Zoom.

Confidencialidad? No no escuchado

La eliminación del seguimiento de atención de los asistentes y el SDK de Facebook de la aplicación es encomiable, aunque tardía, las iniciativas de Zoom Video Communications, pero esto no resolvió el problema de seguridad: el hecho es que Zoom tiene un vagón y un carrito pequeño.

Por lo tanto, la política de privacidad de Zoom establece explícitamente que los socios publicitarios (por ejemplo, Google Ads y Google Analytics) del servicio recopilan automáticamente "cierta información" sobre los usuarios cuando usan los productos de la compañía. Y qué tipo de información no se especifica. Esto es lo que Doc Searls, uno de los investigadores de seguridad informática, escribe sobre esto:

“Zoom se dedica a la publicidad y, en su peor de los casos, la empresa vive de los datos personales recopilados de los usuarios. Pero aún más aterrador es el hecho de que Zoom puede recopilar una gran cantidad de datos privados e íntimos (por ejemplo, la conversación de un médico con un paciente), y ninguno de los participantes en la conversación es consciente de esto ". Y además: "Si su navegador se preocupa por la privacidad (por ejemplo, Brave, Firefox o Safari), lo más probable es que bloquee los rastreadores publicitarios, sin embargo, en Zoom no podrá determinar si sus datos personales se recopilan y cómo sucede". .

Luego, el especialista señala que hasta hace poco en Zoom no era posible negarse a recopilar datos personales sobre usted y venderlos a terceros (existe una violación no solo de la confidencialidad, sino también de la seguridad):

"La política de privacidad actual de Zoom se ve aún peor que" no tiene privacidad aquí "", resume el experto y ofrece una definición dura de la política de Zoom en relación con los usuarios: "Abrimos sus cuellos virtuales a los vampiros de información que pueden hacer cualquier cosa con ellos, Lo que sea que ellos quieran. " (Literalmente: exponemos sus cuellos virtuales a los vampiros de datos que pueden hacer lo que quieran con él ).

Actualización de la política de privacidad

Una oleada de críticas todavía obligó a Zoom Video Communications a revisar su política de privacidad, y el 29 de marzo apareció una versión actualizada del texto (https://zoom.us/privacy), que al principio declara explícitamente: “No vendemos sus datos personales. Si usted es una empresa, institución educativa o un usuario individual, no vendemos sus datos ".

El siguiente punto importante: “Tus reuniones son solo tuyas. No los rastreamos ni los almacenamos después de la reunión, a menos que el organizador de la conferencia los grabe y los guarde ".

Otro punto interesante: "Zoom recopila solo los datos del usuario que son necesarios para proporcionarle servicios de Zoom ... Por ejemplo, recopilamos información como la dirección IP del usuario, así como información sobre el sistema operativo y el dispositivo ..."

Y finalmente: “No utilizamos los datos que recibimos de su uso de nuestros programas para ninguna publicidad. Utilizamos los datos que recibimos de usted cuando visita nuestros sitios comerciales, como zoom.us y zoom.com. Puede controlar su propia configuración de cookies cuando visita nuestros sitios comerciales ".

Sería posible terminar con esto: decir que los muchachos son geniales y recomendar el Zoom actualizado a todos los que se preocupan por su seguridad en Internet, pero aquí hay un matiz y, contrariamente a la broma conocida, ni siquiera uno.

Otras vulnerabilidades

Grandes problemas esperan a los usuarios de Windows, de los cuales la gran mayoría en el mundo. Resultó que Zoom convierte las rutas UNC en enlaces, es decir, rutas ... a archivos en Windows. (https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/). Al usar dichos enlaces que contienen imágenes, grabaciones de audio y otros archivos multimedia, no será difícil para un pirata informático descifrar hash y obtener acceso a las credenciales de usuario de Zoom. La compañía es consciente de esta vulnerabilidad, pero hasta ahora no ha habido correcciones en el código de la aplicación.

Anteriormente, "Zoom" recibió otro golpe en voz baja del sitio de investigación de noticias The Intercept, donde el 31 de marzo apareció un artículo que indica que los videos en Zoom no tienen el cifrado adecuado y que la propia empresa puede ver las sesiones de comunicación de sus usuarios. Y la falta de cifrado de extremo a extremo conduce a la posibilidad de que personas ajenas interfieran en las conversaciones: en 2020, el llamado "Zoombombing" ganó gran popularidad, cuando los extraños "abrieron" varias clases y videoconferencias corporativas con el propósito humorístico de organizar "bromas" y convertir las transmisiones en un caos ( incluida la transmisión de contenido pornográfico a toda la audiencia). Es fácil adivinar que tales sorteos son lo más inofensivo que les puede pasar a los usuarios en Zoom.

Zumovskaya "fresa" y Elon Musk

El otro día, la edición estadounidense del Washington Post reportó miles de conversaciones de Zoom que eran de dominio público, que se publicaron en YouTube y Vimeo. Los periodistas de la publicación, después de haber visto estos materiales, informaron que varias conversaciones "fusionadas" en la red contienen información confidencial: nombres, números de teléfono, listas de servicios, estados financieros de empresas privadas, así como datos personales de niños que aparecieron en clases en línea que ahora se llevan a cabo de manera masiva. en todo el mundo debido a la cuarentena. En muchos videos, se llevan a cabo conversaciones íntimas y profundamente personales e incluso se presenta la desnudez (como, por ejemplo, un maestro que realiza un entrenamiento de depilación en uno de los chats).

La situación se agrava aún más por el hecho de que es posible ver incluso grabaciones ocultas en los servidores de Zuma: los usuarios inteligentes pueden abrir videos aleatorios usando la numeración estándar, que Zoom denota todos sus materiales. Al mismo tiempo, muchas de las víctimas que aparecieron en el video, con quienes los reporteros del Washington Post lograron comunicarse, declararon que ni siquiera se imaginaban cómo sus conversaciones privadas podrían entrar al dominio público.

Incluso antes de los escándalos con la "descarga" de video en la red, Ilon Mask prohibió a sus empleados usar Zoom. El jefe de las corporaciones SpaceX y Tesla señaló que el servicio tiene serios problemas de privacidad y seguridad, y recomendó usar el correo electrónico y el teléfono para la comunicación corporativa. Los ejecutivos de SpaceX bloquearon el acceso de Zoom para sus empleados el 28 de marzo de 2020.

NASA y Google también contra Zoom

La portavoz de la NASA, Stephanie Schierholz, dijo el mismo día que la agencia espacial de EE. UU. También prohíbe a sus empleados usar Zoom, y el 30 de marzo la sucursal del FBI de Boston emitió una advertencia sobre el uso de Zoom: a los empleados se les prohibió hacer públicas las reuniones en el sitio o compartir enlaces.

De las últimas noticias para el Zuma que no fue alegre: Google abandonó la aplicación de escritorio Zoom. Reuters informa que Google ha prohibido el uso de la aplicación en las computadoras portátiles de sus empleados desde el 8 de abril, citando preocupaciones de seguridad de Zoom. José Castaneda, representante de la compañía que administra el motor de búsqueda más grande del mundo, dijo: “Recientemente, nuestro servicio de seguridad informó a los empleados que usan Zoom Desktop Client que este programa ya no será compatible con las computadoras corporativas porque no cumple con nuestros estándares de seguridad para las aplicaciones utilizadas por los empleados de la compañía . Sin embargo, Google todavía permite el uso de Zoom a través de aplicaciones móviles y navegadores " .

Prometieron reparar ...

Zoom Video Communications afirma que surgieron problemas con la fuga de datos debido a que los servidores de aplicaciones no estaban preparados para tal afluencia de usuarios durante el último mes. Y el CEO de la compañía, Eric Yuan, incluso habló en detalle sobre esto en su blog y agregó que tienen mucho trabajo por hacer para restaurar la confianza de las personas ( enlace ).

Bueno, les deseamos mucha suerte a los chicos.

Zoom: ¿negligencia banal o espionaje selectivo?