Сервис для видеоконференций, онлайн-встреч и чата Zoom набрал огромную популярность за последнее время. Миллионы людей, которые вынуждены сидеть дома из-за вспышки коронавирусной инфекции COVID-19, используют приложение для дистанционного занятия йогой, коллективного кинопросмотра, учебы и рабочих совещаний.
Однако похоже, что Zoom может стать жертвой собственного успеха. Большая востребованность сервиса вскрыла и его недостатки, главным образом связанных со слабой защитой данных и пробелами в политике конфиденциальности. Только за сегодня стало известно, что видео- и аудиочаты Zoom не защищены сквозным шифрованием (E2E), которое гарантирует, чтобы беседу могли видеть только звонящий и принимающий звонок человек — и никто другой, даже сама компания.
Несмотря на усилия маркетологов, пишет The Intercept, в действительности Zoom применяет менее надежную технологию транзитного шифрования на транспортном уровне (примерно таким же образом защищается HTTPS-канал между браузером и сайтом). Это значит, что у злоумышленника, взломавшего беспроводную сеть Wi-Fi, не получится подслушать разговор, однако сама компания сможет это сделать. "В настоящее время включить E2E-шифрование для видеоконференций Zoom невозможно, — подтвердили изданию представители сервиса, когда к ним обратились напрямую. — Видеоконференции Zoom используют комбинацию TCP и UDP", то есть протоколов транспортного уровня.
Motherboard сегодня также сообщило, что Zoom может раскрыть электронную почту и инициировать звонок незнакомому человеку. Дело в некорректной работе функции Company Directory ("Каталог компаний"), которая может объединять адреса с одинаковым доменом в один список, ошибочно полагая, что их владельцы являются сотрудниками одной компании. Это облегчает поиск коллег, но может поставить под угрозу персональные данные. В Zoom заверили, что уже исправили неполадку.
За последний месяц Zoom не раз подвергался критике за недостаточную приватность. Ранее на этой неделе iOS-приложение сервиса уличили в сборе и отправке данных Facebook (запрещена в РФ). Оказалось, что информация (в том числе используемая модель iPhone/iPad, название сотового оператора, часовой пояс, уникальный идентификатор) утекает даже если у пользователя нет аккаунта в этой социальной сети, хотя в политике конфиденциальности Zoom об этом ничего не сказано.
Недовольство вызвала и функция Attention tracking ("Отслеживание внимания"), которая позволяет создателю видеовстречи видеть, какие участники переключились на другое приложение дольше чем на 30 секунд. Некоторые пользователи сочли, что эта возможность нарушает их приватность.
Помимо этого, за последние недели в Zoom участился наплыв интернет-троллей, которые вторгаются в разговор, ругаются матом и транслируют порно. В атаке провокаторов (этот феномен назвали зумбомбингом — от англ. zoombombing) виноваты выставляемые по умолчанию настройки приложения, которые делают любую видеовстречу общедоступной по ссылке. В ситуацию вмешалось даже ФБР: спецслужбы настоятельно порекомендовали пользователям менять настройки и защищать диалоги паролем.
