Zoom z lukami bezpieczeństwa? Już (podobno) nie

Zoom z lukami bezpieczeństwa? Już (podobno) nie

4 kwietnia 2020 0 przez Paweł Pilarczyk

Aplikacja Zoom służąca do prowadzenia wideokonferencji notuje w ostatnim czasie rekordową popularność. Dziennie korzysta z niej obecnie ponad 200 milionów osób. Jeszcze pod koniec 2019 roku ta liczba oscylowała wokół… 10 milionów. Specjaliści wskazują jednak na problemy z niedostatecznymi zabezpieczeniami w Zoom.

Z góry zaznaczamy – większość dostrzeżonych luk występuje (lub występowała) w wersjach na komputery i telefony Apple (dla systemów macOS i iOS). Tylko jeden problem dotyczył wersji aplikacji dla systemu Windows. Aplikacja na Androidzie wydaje się być bezpieczna.

Zoom to obecnie jedna z najpopularniejszych aplikacji do prowadzenia wideokonferencji. Jest prosta w obsłudze i intuicyjna, umożliwia realizowanie połączeń nawet w 100 osób jednocześnie (nawet przy powolnych łączach internetowych), pozwala na współdzielenie ekranu, także rysowanie po tablicy, którą widzą inni uczestnicy połączenia. W dodatku większość funkcji udostępnia za darmo – ograniczeniem jest głównie długość połączenia, która wynosi maksymalnie 40 minut. Jednak po rozłączeniu się wystarczy uruchomić konferencję na nowo, wiec to też nie jest dużym problemem.

Świat zmieniony w ostatnich tygodniach przez epidemię choroby COVID-19 sprawił, że popularność aplikacji do zdalnej współpracy, jak Microsoft Teams czy właśnie Zoom niezwykle wzrosła. Liczba osób korzystających z tych platform w krótkim czasie zwiększyła się wielokrotnie. W związku z czym badacze bezpieczeństwa postanowili przyjrzeć się dokładniej poszczególnym platformom.

Zoom: prosty, ale dziurawy jak ser szwajcarski

Jedną z analizowanych najczęściej aplikacji – z racji ogromnej popularności jest Zoom. Chociaż narzędzie to działa niezwykle sprawnie i jest bardzo proste w obsłudze, oferuje taką funkcjonalność kosztem bezpieczeństwa. Specjaliści wskazywali, że na systemach Apple macOS podczas instalacji Zoom, aplikacja obchodzi zabezpieczenia systemu, co z jednej strony sprawia, że instalacja jest niezwykle prosta (to było zresztą zamierzenie twórców programu), ale z drugiej jest to zachowanie typowe dla malware’u.

W lipcu 2019 w Zoom – także w wersji na macOS – dostrzeżono lukę umożliwiającą automatyczne dołączenie do konferencji z włączoną kamerą tylko po wejściu na odpowiednio spreparowaną stronę internetową. Na szczęście kilka dni później lukę załatano.

Zauważono ponadto fakt, że Zoom (w wersji na smartfony Apple iPhone) wysyła dane swoich użytkowników do Facebooka bez ich wiedzy. Na szczęście po interwencji samego Facebooka, Zoom zakończył już ten proceder.

Inny problem – tym razem dotyczący już systemu Windows – pozwalał przesłanie do uczestników konferencji na czacie specjalnego linka, który – po kliknięciu – powodował uruchomienie się na ich komputerach dowolnej, wybranej przez atakującego aplikacji.

Dostrzeżonych luk w Zoomie było tak dużo, że niektórzy specjaliści określili firmę jako „fundamentalnie zepsutą”. Tak w swoim tweecie napisał David Heinemeier Hansson, twórca Ruby on Rails.

Najczęściej jednak wskazywanym problemem był fakt, że Zoom domyślnie nie wymagał żadnego hasła do tego, by dołączyć do konferencji. Wystarczyło tylko znać numer ID konferencji, by zostać jej uczestnikiem. Ruszyła więc zorganizowana akcja domorosłych „hakerów”, którzy zgadywali numery ID, dołączali do losowych konferencji i mogli podsłuchiwać przebieg rozmowy – do momentu aż organizator wideorozmowy zorientował się, że ma nieproszonych gości na swoim kanale.

Zoom łata luki

Wydaje się jednak, że Zoom wziął sobie do serca wszystkie uwagi. Firma zadeklarowała, że obecnie zamiast rozwijać kolejne funkcje w swojej aplikacji, przerzuciła wszystkie swoje zasoby na łatanie dziur bezpieczeństwa. Dziś w nocy wysłała ponadto do swoich zarejestrowanych użytkowników komunikat, z którego wynika, że dokonano znaczących zmian w najnowszej wersji aplikacji. Przykładowo, od jutra (5 kwietnia) domyślnie każda konferencja będzie chroniona hasłem (zatem samo odgadnięcie numeru ID nie wystarczy, by do niej dołączyć). Załatano także dostrzeżone luki na komputerach Mac i smartfonach iPhone.

Oczywiście koniecznie trzeba zaktualizować aplikację do najnowszej wersji, która zawiera już niezbędne poprawki bezpieczeństwa. Aplikacja informuje o dostępności nowych wersji.

Wydaje się więc, że po początkowych problemach, Zoom na poważnie zabrał się za kwestie bezpieczeństwa swojej aplikacji. Na pewno jednak warto jeszcze zaczekać na audyty przeprowadzone przez specjalistów do spraw cyberbezpieczeństwa na najnowszej wersji tego narzędzia.