🚵🏻 👨🏽‍🌾 🙌🏼 Zoom - kelalaian dangkal atau spionase bertarget? 👩🏿‍🚒 🔬 🆖

Di tengah periode isolasi diri, aplikasi konferensi Amerika terkenal Zoom, yang popularitasnya karena transisi besar-besaran untuk pekerjaan jarak jauh dan pelatihan, telah tumbuh dua kali lipat selama sebulan terakhir, telah menjadi fokus perhatian, dan Zoom telah menjadi tempat pertama yang percaya diri di Amerika Serikat dalam hal pengunduhan. . Namun, ia menarik perhatian tidak banyak dengan peningkatan jumlah pengguna, tetapi dengan skandal yang terkait dengan kebocoran besar-besaran data perusahaan dan pribadi pengguna Zoom ke jejaring sosial Facebook, serta ribuan catatan konferensi video pribadi digabung menjadi akses terbuka di YouTube dan Vimeo.

Apa itu Zoom dan bagaimana cara kerjanya?

Tujuan utama Zoom adalah untuk melakukan konferensi video, dan aplikasi menyediakan dukungan untuk streaming video dalam kualitas HD dan koneksi simultan ke percakapan hingga seratus peserta. Selain itu, pengguna menyukai program ini karena kemampuan untuk berbagi layar dan membuat obrolan, di mana Anda tidak hanya dapat melampirkan berbagai lampiran, tetapi juga bekerja dengan layanan cloud populer seperti Google Disc dan Dropbox. Selain itu, aplikasi ini memungkinkan Anda untuk membuka akses ke layar perangkat seluler (fungsi berbagi). Dari chip tambahan, ada juga fitur "angkat tangan" selama percakapan untuk mengajukan pertanyaan.

Namun, terlepas dari fungsionalitas yang baik, Zuma memiliki masalah besar dalam memastikan privasi pengguna. Jadi, aplikasi ini tidak mendukung enkripsi data ujung ke ujung dan memiliki lubang keamanan serius lainnya yang muncul hanya karena beberapa fungsi ditambahkan.

Pelacakan Perhatian Peserta: Saya mengikuti Anda

Misalnya, fungsi Pelacakan Perhatian Peserta memungkinkan Anda untuk menghitung orang-orang yang teralihkan dari percakapan oleh hal-hal asing. Jelas, ini tampaknya bermanfaat bagi eksekutif dan pelatih perusahaan, tetapi kerugian dari fungsi ini jauh lebih serius, karena menggunakan pelacak pelacakan (skrip yang melakukan pemantauan jarak jauh dari semua peserta), yang memungkinkan program untuk "memotong pengaturan keamanan di browser dan melakukan pemantauan yang tidak konsisten terhadap oleh pengguna dan tindakannya melalui webcam ”, yang telah berulang kali mengajukan pertanyaan dari para pakar tentang perlindungan data pribadi.

Setelah mendengarkan kritik Pelacakan Perhatian Peserta oleh pakar keamanan siber, para pengembang di Zoom Video Communications memutuskan untuk menyingkirkan fitur ini, seperti yang dilaporkan di situs web aplikasi : "Pada tanggal 2 April 2020, kami menghapus fitur pelacakan perhatian pengguna untuk memastikan keamanan dan privasi pelanggan kami" .

Facebook SDK: Zuckerberg ketukan ketukan

Masalah lain yang harus dipecahkan oleh pengembang aplikasi untuk mendapatkan kembali kepercayaan pengguna adalah bahwa Zoom secara otomatis mengirimkan sejumlah data ke Facebook, yang menganalisis dan menggunakan informasi yang diterima untuk tujuan iklan: menurut DuckDuckGo (mesin pencari yang menentang pelacakan data pengguna), pelacak iklan Facebook ditempatkan di 36% dari semua situs di Internet, dan dalam indikator ini menempati posisi kedua setelah Google dengan 85% nya.

Data pengguna apa yang Zoom kirimkan? Pertama-tama, waktu memasukkan aplikasi, lokasi pengguna, jenis perangkat. Di antara informasi yang dikirim adalah ID iklan, menurut situs yang terkait dengan Facebook yang menampilkan iklan yang ditargetkan pengguna.

Tetapi masalah bagi pengembang Zoom adalah bahwa aplikasi iOS mereka mengirim data "Facebook" tidak hanya tentang pengguna yang memiliki akun di jejaring sosial ini, tetapi juga tentang mereka yang tidak terdaftar di Facebook sama sekali, dan yang terakhir ditulis dalam perjanjian pengguna itu tidak dalam bentuk apa pun, yaitu, fakta transmisi informasi yang tidak sah jelas: baca, spionase.

Zoom merespons keluhan pengguna, dan pengembang menghapus kode Facebook SDK dari program mereka, tetapi Amerika mulai mengajukan tuntutan hukum terhadap perusahaan dalam jumlah besar, menuduhnya melanggar undang-undang transfer data lokal. Pemilik Zuma tidak memperhitungkan satu hal sederhana: Pelacakan Facebook dinonaktifkan hanya setelah memperbarui aplikasi, sehingga perusahaan harus mewajibkan semua pelanggannya untuk menggunakan versi baru Zoom.

Kerahasiaan? Tidak, tidak terdengar

Menghapus Pelacakan Perhatian Peserta dan SDK Facebook dari aplikasi patut dipuji, meskipun terlambat, inisiatif Zoom Video Communications, tetapi ini tidak menyelesaikan masalah keamanan: faktanya Zoom memiliki kereta dan gerobak kecil.

Jadi, kebijakan privasi Zoom secara eksplisit menyatakan bahwa mitra periklanan (misalnya, Iklan Google dan Google Analytics) dari layanan secara otomatis mengumpulkan "beberapa informasi" tentang pengguna ketika mereka menggunakan produk perusahaan. Dan informasi apa yang tidak ditentukan. Inilah yang Doc Searls, salah satu peneliti keamanan komputer, menulis tentang ini:

“Zoom terlibat dalam periklanan, dan dalam skenario terburuknya: perusahaan hidup dari data pribadi pengguna yang dikumpulkan. Tetapi yang lebih mengerikan adalah fakta bahwa Zoom dapat mengumpulkan sejumlah besar data pribadi dan intim (misalnya, percakapan dokter dengan pasien), dan tidak ada satu pun peserta dalam percakapan yang menyadari hal ini. " Dan selanjutnya: "Jika browser Anda peduli tentang privasi (misalnya, Berani, Firefox atau Safari), kemungkinan besar akan memblokir pelacak iklan, namun, di Zoom Anda tidak akan dapat menentukan apakah data pribadi Anda dikumpulkan dan bagaimana hal ini terjadi" .

Kemudian spesialis menunjukkan bahwa hingga saat ini di Zoom tidak mungkin menolak untuk mengumpulkan data pribadi tentang Anda dan menjualnya kepada pihak ketiga (ada pelanggaran tidak hanya kerahasiaan, tetapi juga keamanan):

"Kebijakan privasi Zoom saat ini terlihat lebih buruk daripada" Anda tidak memiliki privasi apa pun di sini, "" pakar merangkum dan memberikan definisi yang keras tentang kebijakan Zoom sehubungan dengan pengguna: "Kami membuka leher virtual Anda ke vampir informasi yang dapat melakukan apa saja dengan mereka, apapun yang mereka inginkan. " (Secara harfiah: Kami mengekspos leher virtual Anda ke vampir data yang dapat melakukan apa yang mereka mau dengannya ).

Pembaruan Kebijakan Privasi

Sejumlah kritik masih memaksa Zoom Video Communications untuk merevisi kebijakan privasinya, dan pada 29 Maret muncul versi terbaru dari teks tersebut (https://zoom.us/privacy), yang pada mulanya secara eksplisit menyatakan: “Kami tidak menjual data pribadi Anda. Baik Anda perusahaan, institusi pendidikan, atau pengguna individu, kami tidak menjual data Anda. "

Poin penting berikutnya: “Rapat Anda hanya milik Anda. Kami tidak melacak atau bahkan menyimpannya setelah pertemuan, kecuali penyelenggara konferensi mencatat dan menyimpannya. "

Poin menarik lainnya: "Zoom hanya mengumpulkan data pengguna yang diperlukan untuk menyediakan layanan Zoom kepada Anda ... Misalnya, kami mengumpulkan informasi seperti alamat IP pengguna, serta informasi tentang sistem operasi dan perangkat ..."

Dan akhirnya: "Kami tidak menggunakan data yang kami terima dari penggunaan Anda atas program kami untuk iklan apa pun. Kami menggunakan data yang kami terima dari Anda ketika Anda mengunjungi situs komersial kami, seperti zoom.us dan zoom.com. Anda dapat mengontrol pengaturan cookie Anda sendiri ketika Anda mengunjungi situs komersial kami. "

Adalah mungkin untuk mengakhiri ini: untuk mengatakan bahwa orang-orang hebat, dan merekomendasikan Zoom yang diperbarui kepada semua orang yang peduli tentang keselamatan mereka di Internet, tetapi ada nuansa di sini dan, bertentangan dengan lelucon terkenal, bahkan tidak ada satu pun.

Kerentanan lainnya

Masalah besar menunggu pengguna Windows, yang sebagian besar di dunia. Ternyata Zoom mengubah jalur UNC menjadi tautan, yaitu jalur ... ke file di Windows. (https://www.bleepingcomputer.com/news/security/zoom-lets-attackers-steal-windows-credentials-run-programs-via-unc-links/). Dengan menggunakan tautan yang berisi gambar, rekaman audio, dan file media lainnya, tidak akan sulit bagi peretas untuk memecahkan hash dan mendapatkan akses ke Zoom kredensial pengguna. Perusahaan mengetahui kerentanan ini, tetapi sejauh ini belum ada koreksi pada kode aplikasi.

Sebelumnya, "Zoom" menerima pukulan keras dari situs penyelidikan berita The Intercept, di mana pada 31 Maret sebuah artikel muncul bahwa video dalam Zoom tidak memiliki enkripsi yang tepat dan bahwa perusahaan itu sendiri dapat melihat sesi komunikasi apa pun dari penggunanya. Dan kurangnya enkripsi end-to-end mengarah pada kemungkinan orang luar ikut campur dalam percakapan: pada tahun 2020, apa yang disebut "Zoombombing" semakin populer, ketika orang asing "membuka" berbagai kelas dan konferensi video perusahaan dengan tujuan lucu mengatur "lelucon" dan mengubah siaran menjadi kekacauan ( termasuk menyiarkan konten porno ke seluruh audiens). Mudah ditebak bahwa pengundian semacam itu adalah hal paling berbahaya yang dapat terjadi pada pengguna di Zoom.

Zumovskaya "strawberry" dan Elon Musk

Suatu hari, edisi Amerika dari Washington Post melaporkan ribuan percakapan Zoom yang berada di domain publik, yang diterbitkan di YouTube dan Vimeo. Jurnalis publikasi, setelah menyaksikan materi-materi ini, melaporkan bahwa sejumlah percakapan "digabung" dalam jaringan berisi informasi rahasia: nama, nomor telepon, daftar layanan, laporan keuangan perusahaan swasta, serta data pribadi anak-anak yang muncul di kelas online yang sekarang diadakan secara besar-besaran di seluruh dunia karena karantina. Dalam banyak video, percakapan yang sangat pribadi, intim dilakukan dan bahkan ketelanjangan disajikan (seperti, misalnya, seorang guru mengajar tentang cara menghilangkan rambut di salah satu obrolan).

Situasi ini semakin diperparah oleh kenyataan bahwa dimungkinkan untuk melihat bahkan rekaman tersembunyi di server Zuma sendiri: pengguna pintar dapat membuka video acak menggunakan penomoran standar, yang Zoom menunjukkan semua bahannya. Pada saat yang sama, banyak korban yang muncul di video, yang dikelola oleh para wartawan Washington Post, menyatakan bahwa mereka bahkan tidak membayangkan bagaimana percakapan pribadi mereka dapat masuk ke dalam domain publik.

Bahkan sebelum skandal dengan "keluarnya" video ke jaringan, Ilon Mask melarang karyawannya menggunakan Zoom. Kepala perusahaan SpaceX dan Tesla mencatat bahwa layanan ini memiliki masalah serius dengan privasi dan keamanan, dan merekomendasikan menggunakan email dan telepon untuk komunikasi perusahaan. Eksekutif SpaceX memblokir akses Zoom untuk karyawan mereka pada 28 Maret 2020.

NASA dan Google juga menentang Zoom

Juru bicara NASA Stephanie Schierholz mengatakan pada hari yang sama bahwa badan antariksa AS juga melarang karyawannya untuk menggunakan Zoom, dan pada tanggal 30 Maret cabang FBI Boston mengeluarkan peringatan tentang penggunaan Zoom: karyawan dilarang melakukan pertemuan di situs publik atau berbagi tautan.

Dari berita terbaru untuk Zuma yang tidak menyenangkan: Google mengabaikan aplikasi desktop Zoom. Reuters melaporkan bahwa Google telah melarang penggunaan aplikasi pada laptop karyawan mereka sejak 8 April, dengan alasan masalah keamanan Zoom. José Castaneda, perwakilan perusahaan yang mengelola mesin pencari terbesar di dunia, mengatakan: "Baru-baru ini, layanan keamanan kami memberi tahu karyawan menggunakan Zoom Desktop Client bahwa program ini tidak lagi didukung pada komputer perusahaan karena tidak memenuhi standar keamanan kami untuk aplikasi yang digunakan oleh karyawan perusahaan. . Namun, Google masih mengizinkan penggunaan Zoom melalui aplikasi dan browser seluler . "

Mereka berjanji untuk ...

Zoom Video Communications mengklaim bahwa masalah dengan kebocoran data muncul karena server aplikasi tidak siap untuk masuknya pengguna selama sebulan terakhir. Dan CEO perusahaan, Eric Yuan, bahkan membicarakan hal ini secara rinci di blog-nya dan menambahkan bahwa mereka memiliki banyak pekerjaan yang harus dilakukan untuk memulihkan kepercayaan masyarakat ( tautan ).

Kami berharap semoga sukses!

Zoom - kelalaian dangkal atau spionase bertarget?