Обманное сообщение в приложении Zoom

Компания SpaceX запретила своим сотрудникам использовать приложение для видеоконференцсвязи Zoom из-за «значительных проблем конфиденциальности и безопасности». Уведомление разослано по внутренней почте через несколько дней после того, как американские правоохранительные органы предупредили пользователей о безопасности популярного приложения.

За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др.

SpaceX стала одной из первых компаний, которые официально запретили это конкретное приложение. Запрет иллюстрирует, с какими проблемами сталкиваются те компании, которые ведут важные технологические разработки и пытаются сохранить конфиденциальность коммуникаций. С массовым переходом на удалённую работу это стало гораздо труднее сделать.

Несмотря на массу уязвимостей, программой Zoom продолжают пользоваться миллионы человек. Некоторые беспечно публикуют Meeting ID в открытом доступе, как это сделал Борис Джонсон, премьер-министр Великобритании, со своего десктопа под Windows 10.


Премьер-министр Великобритании опубликовал скриншот Zoom с указанием Meeting ID 539-544-323, что даёт хакерам несколько вариантов для взлома

В электронном письме от 28 марта компания SpaceX сообщила сотрудникам, что они должны немедленно прекратить использование программы Zoom:

«Мы понимаем, что многие из нас использовали этот инструмент для проведения конференций и собраний, — говорится в сообщении SpaceX. — Пожалуйста, используйте электронную почту, текст или телефон в качестве альтернативного средства связи».

Два источника, знакомых с ситуацией, подтвердили Reuters содержание письма.

Пресс-секретарь американского космического агентства НАСА подтвердила, что агентство тоже запрещает своим сотрудникам использовать Zoom.

27 марта 2020 года бостонское отделение Федерального бюро расследований выпустило предупреждение, попросив пользователей не публиковать ссылки на конференции Zoom в открытом доступе. ФБР получило сообщения о двух фактах вторжения неизвестных лиц на школьные занятия. Это явление называют «зумбомбинг» (zoombombing).

28 марта The Intercept опубликовало расследование о том, что видеоконференции Zoom не используют оконечное шифрование между участниками встречи, а только TLS, в результате чего можно внедряться на конференции через серверы компании. В то же время на официальном сайте фирма утверждала, что сеансы защищены end-to-end шифрованием.



Пришлось внести изменения в документацию и извиниться перед пользователями: «Мы хотим начать с извинений за путаницу, которую мы вызвали, неверно указав, что конференции Zoom способны использовать сквозное шифрование, — оправдывается компания в официальном блоге. — Zoom всегда стремился использовать шифрование в максимально возможном количестве сценариев, поэтому мы использовали термин "сквозное шифрование"».

SpaceX является подрядчиком министерства обороны и НАСА, а сейчас ведёт испытания ракеты Starship, которая должна доставить людей на Луну и Марс.

С начала 2020 года капитализация Zoom выросла вдвое и сейчас достигла $38,22 млрд. На фоне скандала с приватностью курс акций скорректировался примерно на 10%.

В последней версии компания Zoom внесла изменение в код, а также в интерфейс. Оконечное шифрование больше не упоминается, но используется формулировка «Ваше клиентское соединение зашифровано» (Your client connection is encrypted).