company_banner

К Zoom все меньше доверия. Сингапур запретил использовать сервис для проведения школьных уроков


    Все больше и больше учителей используют Zoom для проведения удаленных уроков в условиях карантина и самоизоляции

    Правительство Сингапура запретило школам использовать приложение для видеоконференций Zoom для проведения занятий с детьми после ряда хакерских атак, сообщает Guardian. Причиной запрета стало несанкционированное подключение злоумышленников к конференциям и демонстрация школьникам изображений порнографического характера. Во время другого инцидента хакеры стали приставать к школьницам и делать им непристойные предложения.

    На основе двух этих атак правительство Сингапура приняло решение о полном запрете Zoom как инструмента школьных учителей, которым в условиях самоизоляции населения приходится проводить занятия онлайн. Вероятно, преподаватели перейдут на другие популярные альтернативы, например, Skype или Jitsi Meet.

    О проблемах безопасности Zoom уже писалось на Хабре. Ранее Zoom запретили в компании Илона Маска SpaceX. Неделю назад сообщалось о том, что вместо заявленного сквозного шифрования, о котором заявляла компания-разработчик, Zoom использует TLS. Также писали, что приложение раскрывает персональные данные пользователей из-за ошибок в логике определения сослуживцев.

    За последние месяцы акции разработчика Zoom, компании Zoom Video Communications, выросли почти вдвое из-за интереса со стороны инвесторов в ценные бумаги к набирающему популярность сервису. Однако вместе со взлетом котировок бумаг на NASDAQ, в сторону Zoom хлынула волна критики: все больше специалистов из области IT и информационной безопасности стали присматриваться к сервису, который активно набирал популярность среди менеджмента в последние годы. И если к технической стороне связи предъявить особо нечего, так как WebRTC или схожие протоколы направлены на экономию канала, а не на трансляцию в максимальном качестве, то к безопасности приложения возникло масса вопросов.

    Одним из первых выпадов в сторону Zoom на Хабре в рамках массовой самоизоляции, стала публикация, уличающая Zoom в «шпионских» замашках с параллельным предложением опенсорсной альтернативы в виде Jitsi Meet. В статье указывается, что приложение использует сомнительную функцию «трекинга внимания», чтобы шпионить за невнимательными коллегами во время звонка, плюс собирает неприлично большой массив персональных данных:

    Вызывает подозрение официальная политика приватности Zoom, в которой компания предупреждает о сборе большого массива персональных данных на пользователей:

    • имя;
    • физический адрес;
    • почтовый адрес;
    • телефонные номера;
    • место работы и должность;
    • информация из профиля Facebook;
    • спецификации компьютера или смартфона;
    • IP-адрес;
    • «информация, которую вы загружаете, предоставляете или создаёте во время использования сервиса».

    При этом в документе практически ничего не сказано, зачем собирается эта информация и как она используется. Компания даже не может прямо ответить на вопрос «Вы продаёте эту информацию?»

    Electronic Privacy Information Center (EPIC) в прошлом году предупреждал, что «Zoom умышленно разработан для обхода настроек безопасности браузера и удалённого включения веб-камеры пользователя без его ведома или согласия»

    Позже в сети появилось масса разоблачений, начиная от «странной» реализации end-to-end шифрования, когда оба хоста находятся на стороне самого сервиса, а не на стороне участников звонка, до свободного подключения к чужим видеоконференциям.

    На графиках стоимости акций Zoom отчетливо видно, как инвесторы нехотя, но реагируют на очередные отчеты технических специалистов и найденные в сервисе уязвимости, за которые крупные компании уровня Google или Microsoft уже бы разорвали на части:



    К сожалению, единственной всем известной альтернативой является Skype, который, однако, не дает столько вариантов контроля за происходящим в рамках звонка, как Zoom. При этом вопрос безопасности, лжи разработчиков (как минимум на тему end-to-end шифрования, которого в Zoom нет), сбора персональных данных и «шпионских» замашек Zoom остается открытым.
    ITSumma
    Собираем безумных людей и вместе спасаем интернет

    Комментарии 28

      0
      Что это за Zoom, почему из него сейчас слышно чуть ли не больше чем про коронавирус? Сидели все себе на скайпе и слаке и тут внезапно из каждого чайника: «О боже, Зум не безопасен, шифрования нет, ни в коем случае не используйте!!!»
        +3
        Он позволяет подключаться большому числу пользователей одновременно. Скайп и другие альтернативы — ложатся. У нас тест на 430 сотрудников по Зуму успешно прошел.
          +1
          Хм, а точно для 430 сотрудников нужен именно видеочат? Нельзя сделать стрим, где все будут зрителями, а несколько — ведущими?
            +1
            Ну 430 это нагрузочное тестирование было. В реальности не более 300. Стрим не подойдет, т.к. нужен режим совещания. По поводу причин выбора данной платформы я ничего не могу сказать.
            Просто привел наш пример в качестве преимущества перед скайпом.
              +1
              Вы, конечно, извините, но «режим совещания» в одном предложении с «300 человек» — это маразм. Не получится у вас организовать *эффективное* совещание с таким количеством людей. Проверено большим опытом рабочих митингов, где больше 20 человек за раз — уже разброд и шатание, а про митинги с 40 людьми уже ходят легенды. Если вам нужно «совещание» на 300 человек — значит «совещание» можно организовать часом позже для 10-20 заинтересованных лиц, а результаты уже в режиме стрима объявить остальным.
          +1

          На самом деле довольно популярный сервис, пару лет назад при наличии канала низкого качества позволял получить приемлемое качество звука и видео в конференции, там где Скайп сыпался и прерывался при том же количестве участников. Вот безопасность да, хромает на обе ноги.

            –2
            Мне тоже не зашел. Даже при условии довольно глючного скайпа. Ничего не понятно, приложение делает что хочет.
              +3
              Что это за Zoom
              Халява, сэр!.. И такое не в первый раз — примеры даже перечислять лень.
              больше чем про коронавирус
              У (почти) всех бизнес рухнул, а эти на нем же поднялись «честно»: ну и как же такое можно пропустить?
                0
                Хорошо, как не использовали, так и не будем.
                  0
                  зум прекрасен тем, что для подключения ко встрече нужна одна лишь ссылка и все.
                  никаких там предварительных регистраций, поиска людей по нику, приглашение в чат.
                  ну и конечно непревзойденное качество аудио и видео связи.
                    0

                    Вы ошибаетесь. Нужно еще клиента установить.

                      0
                      Кстати да.
                      На Маке клиент устанавливается не так, как принято у здоровых людей (путем копирования .app на диск), а через запуск .pkg, который просит пароль админа (!), шарится в системе и непонятно что там творит.
                      Спасибо, но нет.
                        0
                        Либо регистрироваться, тогда можно ничего не ставить, как я понимаю.
                          0
                          Я зареглен. В браузере вечная крутилка загрузки, а через 40 минут — «вы попользовались, теперь платите!»
                          У коллеги на линухе то же самое, на винде порядок, браузеры одинаковые.
                      0
                      Мак и Линух — по ссылке открывается сайт зума, где происходит вечная загрузка конференции.
                      Это и есть прекрасное?
                    +4
                    Хм. Пошел посмотреть этот самый Jitsi Meet. Нажал на сайте «сделать звонок», ввел от фонаря название «111». Оказался в какой-то конференции с десятком участников, обозначенных иероглифами. Сильно удивился. Это типа тестовая конференция была? Или можно к любой конференции подключиться чисто по названию?
                      +3
                      Да, можно чисто по названию. Поэтому не надо использовать очевидные :)

                      Чудаки с иероглифами просто не догадались свою конференцию запаролить.

                      А ещё jitsi можно развернуть на своём сервере, этим он особенно замечателен.
                        0
                        Действительно, просто не догадались. Сделать нормально же сразу нельзя.
                          0
                          Возможность быстро зайти без регистрации — это же фича. И ссылка там по умолчанию нормальная, что её можно изменить — это фича, что её меняют на нечто столь банальное — это проблема не сервиса, а чьей-то головы.
                          0

                          Secure domain (авторизация для создания конференций) был сломан на релизе. Раз пять накатывал разные дебианы, пока не наткнулся на аналогичный issue. Решил проблему выключением сервиса через ssh


                          И да, там где Zoom непринужденно показывает картинку с дряного мобильного интернета, jitsi замечательно ложится. То ли из-за того, что пытается показать 720р на нестабильном канале, то ли ещё из-за чего

                            0
                            Ничем не могу прокомментировать, так как пользовался всего пару раз и без установки своего собственного. Но реально удобно, не нужно думать, есть ли у человека аккаунт в каких-нить мессенджерах или соцсетях, достаточно браузера.
                        0

                        Чем Jitsi Meet безопаснее Зума, мне интересно?

                          0

                          Возможностью накатить на свой сервер. Возможностью использовать что-то посерьезнее AES в режиме шифроблокнота. Отсутствием необходимости устанавливать клиент на десктоп (работает полностью из браузера).


                          Функциональность у Meet, к сожалению, пока уступает таковой у Zoom

                          0

                          Есть ещё Bluejeans, довольно популярная в корпоративной среде, без косяков зума и получше скайпа.

                            0

                            Bluejeans микширует потоки на серверах (обратите внимание что вам приходит в конференцию одно видео с уменьшенными головами участников), а значит они находятся на нём в незашифрованном виде. Впрочем, такая же проблема у всех MCU, в том числе облачных (Lifesize Cloud, Avaya Spaces, сервисы на основе Pexip и т.п).

                            0
                            Находка для шпиона.
                            Давно сижу в геймерской чатилке (политика: каждое сообщение принадлежит только отправителю) с легальным ботом и передачей звуком/видео до 96 кбит/с на стоковой учётке.
                              0
                              ох уж этот zoom, сколько новостей про сливы
                                0
                                Зум удобен. со скайпом нет смысла сравнивать. мне вообще не очень понятно как скайп до сих пор жив с такими проблемами. Одна из возможных причин — это видео конференции в скайпе. надеюсь, зум или что-то другое вытеснят его окончательно.
                                ну и главный плюс зума — относительная бесплатность + управление удаленное рабочим столом (с тем же тим вьювером могут быть проблемы с подозрением на коммерческое использование).

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое