Чи є Zoom небезпечним. Питаємо розробника

In this photo illustration a Zoom App logo is displayed on a smartphone on March 30, 2020 in Arlington, Virginia. - The Zoom video meeting and chat app has become the wildly popular host to millions of people working and studying from home during the coronavirus outbreak. (Photo by Olivier DOULIERY / AFP) (Photo by OLIVIER DOULIERY/AFP via Getty Images)

«Процес» вже публікував хроніку додатка для відеоконференцій Zoom. Під час карантину він отримав шалену популярність і миттєво опинився у новинах. Присвячених, здебільшого, тому, що Zoom зливає дані Facebook. Повідомлялося, що після установки і першого запуску Zoom зв’язується з Facebook Graph API, програмним інтерфейсом, призначеним для розробників, і передає дані про модель пристрою, часовий пояс, локацію користувача, оператора зв’язку та унікальний рекламний ідентифікатор для таргетованої реклами. Інформація передавалася навіть в тому випадку, коли користувач Zoom не зареєстрований в Facebook.

У п’ятницю, 10 квітня, до заборони Zoom у SpaceX та обмеження у Google додалася заборона Zoom у дистанційному навчанні в Сингапурі. Причина та сама — порушення приватності. До конференцій вторгаються сторонні люди, які показують непристойні зображення або роблять неетичні коментарі на адресу школярок та студенток.

Генеральний директор Zoom Ерік Юань вже неодноразово обіцяв вдосконалити безпеку Zoom та вибачався за проблеми, створені користувачам. Щоб розібратися, чи боятися Zoom, ми взяли коментарі у Lead Software Developer LeoGaming Віктора Ніколаєвича.

Про збір даних Facebook

Інформація що може дати девайс — неперсоніфікована, там немає ні номеру телефону, ні особистих даних, тим паче аналогічну інформацію збирає Facebook. Ці дані юзери самі йому віддають. У решті додатків є авторизація через FB, під час якої іде підключення до Facebook і ці самі дані теж збираються. А у Google є авторизація через Google OAuth та рекламний Adsense, хоча про це ніхто не говорить.

Про те, чи можливо таке у інших додатків

Кожен додаток, що транслює рекламу, змушений передавати якісь дані рекламному майданчику для таргетованого відображення.

Про конкурентів

Особисто моя теорія, що це боротьба між Microsoft Teams і Zoom, хоча у Teams є дуже багато моментів, які відсутні у Zoom. Чомусь нікого не дивує, що за місяць прийшли мільйони нових користувачів, а злили відео усього декількох тисяч юзерів.

Як зламували відео

Є підозра, що Zoom спочатку створювався для відеоконференцій з 100+ учасниками, щоб могли показувати дашборди і презентації. І по замовчуванню ще місяць тому не стояло введення паролю на конференцію. Відповідно, коли робили відеозапис, і він зберігався десь на хості, переглянути відео можна було з брутфорсом ідентифікатора зустрічі. Тобто зловмисники створили скрипт, який шукав відео по певним ID.

Тиждень тому Zoom оновив політику безпеки та поставив паролі за замовчуванням. Але все ще є випадки, коли до відео підключаються невідомі люди.