«Сквозное» шифрование в Zoom оказалось не таким уж «сквозным»; кроме того, приложение раскрывает данные пользователей.
В условиях карантина, связанного с пандемией коронавируса, существенно возросла популярность сервисов для общения и конференцсвязи, таких как Zoom. В связи с этим ПО попало в поле зрения специалистов в области кибербезопасности, выявивших в нем несколько проблем. К примеру, как стало известно, iOS-приложение Zoom отправляло Facebook данные об устройствах пользователей, и хотя разработчики исправили эту проблему, исследователи нашли несколько новых.
Как сообщает портал The Intercept, используемое в Zoom шифрование не является по-настоящему сквозным. Согласно информации, представленной на сайте Zoom и в отчете безопасности, приложение использует сквозное шифрование (end-to-end encryption). Тем не менее, на вопрос сотрудников The Intercept пресс-секретарь Zoom ответил, что «в настоящее время включить сквозное шифрование для видеозвонков в Zoom невозможно».
Приложение использует TLS, стандарт, использующийся в браузерах для HTTPS-сайтов. Другими словами, данные, передаваемые между пользователями и серверами Zoom, шифруются так же, как трафик Gmail и Facebook. В свою очередь, термин «сквозное шифрование», как правило, означает полную защиту трафика между двумя пользователями без доступа к нему компании. Zoom не использует такой подход, поэтому заявление о сквозном шифровании вводит в заблуждение.
Сама компания не согласна с обвинениями в введении пользователей в заблуждение. «Используя в своих материалах слово “сквозное” (end-to-end - ред.), мы имеем в виду, что шифруем соединение между двумя конечными точками Zoom», - пояснили представители компании.
О еще одной проблеме в Zoom сообщило издание Vice. Как оказалось, из-за уязвимости приложение раскрывает электронные адреса и фотографии тысяч пользователей, а также позволяет осуществлять видеозвонки с незнакомцами. Проблема связана с тем, как приложение обрабатывает контакты, считающиеся им принадлежащими к одной организации.
Как правило, Zoom группирует контакты с одним и тем же доменом электронной почты в «Каталог компании». Это позволяет пользователям находить своего коллегу, видеть его фотографию и электронную почту и инициировать с ним видеозвонок. Для сотрудников компаний такой подход весьма удобен, но приложение также объединяет пользователей, подписавшихся на данную услугу с помощью личной электронной почты. То есть, затронутый пользователь может видеть в своем «Каталоге компании» личные электронные адреса и фотографии людей с тем же доменом, даже если никто из них на самом деле не является его коллегой.