fbpx
07máj, 2020
0Comments
featured-image

A Zoom tényleg adatvédelmi rémálom?

A Zoom a koronavírus-járvány kirobbanásáig lényegében egy videokonferencia-alkalmazás volt a sok közül. Olyan nagyágyúkkal szállt szembe a piacon, mint a Microsoft Skype/Teams megoldása, a Google Hangouts-a, a Webex a Cisco-tól, vagy a Meet Jitsi.

A tényleg faék-szinten könnyű kezelhetősége azonban hamar meghozta az ismertséget és rengetegen kezdték alkalmazni, sőt intézményi szinten is több iskola konkrétan előírta, hogy a Zoom-ot kell használni a tanároknak és diákoknak.

A Zoom biztonsági problémái azonban korábban sem voltak ismeretlenek a szakemberek előtt.

A Dropbox etikus hackerekkel bizonyította a Zoom sebezhetőségét

A Dropbox 2019-ben hirdetett meg egy etikus hacker versenyt, amelyet Szingapúrban tartottak. A cég azért ajánlott fel összesen több mint 330 ezer dollárt, hogy a hackerek sebezhetőséget találjanak a szoftvereikben, az akkor frissen megszerzett HelloSign-ban és a beszállító partnerek saját fejlesztésű szoftvereiben.

Két ausztrál hacker is indulni akart a versenyen és a nyolc órás repülőút során úgy döntöttek, kihasználják az idejüket és az amúgy lassú internetkapcsolatot, és a Dropbox alkalmazottak által közkedvelt Zoom-ot választották ki céltáblaként.

Hamarosan rá is bukkantak egy jelentős sebezhetőségre, amit kihasználva átvehető az irányítás a Zoom-oló Mac-használók gépe felett – és mint később kiderült, a Dropbox biztonsági szakemberei erre a sebezhetőségre már korábban felhívták a vezetőség figyelmét!

A sebezhetőség dacára sokan védelmezték a Zoom-ot

Mint a későbbiekben nyilvánvaló lett, a hiba nem volt új keletű, azt már két évvel korábban felfedezték, csak éppen valahogy senki se igyekezett kijavítani, a Dropboxnál meg nem igazán foglalkoztak a sebezhetőséggel.

Csakhogy időközben beütött a koronavírus-járvány, és az addig szűk körben használt Zoom egyszeriben százmilliók által kedvelt eszközzé vált. Az adatvédelmi problémák pedig hamarosan nyilvánvalóvá váltak.

Akadtak persze rögtön olyan szakemberek, közöttük kockázatitőke-befektetők, akik a védelmükbe vették a Zoom-ot, mondván, ezt a szoftvert nem arra találták ki, hogy a legutolsó vidéki kisiskola is ezzel oldja meg a házifeladatok ellenőrzését, hanem eredetileg üzleti felhasználóknak készült.

Sőt Alex Stamos, a Facebook egyik korábbi biztonsági főnöke egyenesen azt állította, hogy olyan ez, mintha hirtelen az autósok sokasága döntött volna úgy, hogy ezentúl a vízen akarja a kocsiját vezetni, mintha az hajó lenne.

Persze, érthető, miért vette védelmébe a Zoom-ot: ott kapott biztonsági tanácsadói állást.

A sebezhetőség már két éve ismert volt

A Dropbox vezetése először még 2018-ban bízott meg titokban etikus hackereket, hogy tárják fel a Zoom esetleges biztonsági hibáit.

Amikor aztán sorra jöttek a jelentések, és a Dropbox bemutatta az aggasztó eredményeket a Zoom Video Communications-nek, a videokonferencia-szolgáltatás mögött álló kaliforniai társaságnak, három hónap is eltelt, mire javították a legsúlyosabb hibát – de csak azt követően, hogy egy másik hacker közzétett egy hasonló, de ugyanazon alaphibából fakadó sebezhetőséget.

A legsúlyosabb hiba kihasználásának saját kifejezése született: a zoombombing

Ám, mint kiderült, ez csak egy kritikusan súlyos hiba volt a több közül. Ahogy a Zoom az online távoktatás egyik legelterjedtebb szoftvere lett, megjelentek a „zoombomberek”, akik engedély nélkül léptek be az éppen zajló online tanórákba, és pornográf anyagokat, illetve fenyegetéseket tettek közzé.

Ezt kezdték el zoombombingnak nevezni, a photobombing mintájára.

Legalább ilyen aggasztó jelenség, hogy a dark weben árulni kezdték zoom-os felhasználónév-jelszó párosok sokaságát, illetve olyan hozzáférést, amivel Zoom-on keresztül átvehető az irányítás az áldozat számítógépe felett.

A hibákat végül elkezdték kijavítani

A Zoom-nál se tétlenkedtek ezúttal, és napok alatt sikerült is a legtöbb biztonsági hibát elhárítani. Habár még mindig lehetnek sérülékenységek az alkalmazásban, a Zoom jó úton halad afelé, hogy a legtöbb esetben biztonsággal lehessen használni.

Igaz, aki félti a privát szféráját, vagy az üzleti titkait, jobb, ha inkább biztonságosabb megoldást választ.