Populárna aplikácia na videohovory Zoom, ktorú využíva aj veľké množstvo slovenských firiem, čelí v posledných mesiacoch veľkej kritike za jej bezpečnostné chyby a únik používateľských dát. O dvoch najnovších chybách informuje portál TheHackerNews.
Šifrovanie len pre platiacich používateľov
Službe Zoom narástla popularita hlavne po príchode epidémie koronavírusu. Pre väčšinu firiem to bol primárny nástroj na komunikáciu so svojimi zamestnancami pomocou videohovorov. Krátko potom ale prišla kritika zabezpečenia Zoomu a úniky dát používateľov. Služba už niektoré z bezpečnostných chýb odstránila, ale používatelia sa stále márne dožadujú end-to-end šifrovania. To by malo byť v budúcnosti dostupné len pre platiacich používateľov. Služba to obhajuje tým, že chce v spolupráci s vládou a políciou ľahšie odhaľovať hackerské útoky v bezplatnej verzii. Navyše sa teraz objavili dve nové kritické chyby v službe, ktoré dôveru používateľov Zoomu určite neposilnia.
Čoho sa týkajú nové bezpečnostné chyby?
Chyby odhalili výskumníci bezpečnostnej firmy Cisco Talo. Vďaka ním dokáže útočník vzdialene hacknuť systém cez jednotlivé aj skupinové konverzácie. Prvá chyba s označením CVE-2020-6109 využíva službu na zdieľanie GIF obrázkov GIPHY, ktorú nedávno kúpila spoločnosť Facebook. Služba Zoom totiž neoveruje, či bol GIF obrázok skutočne stiahnutý cez službu GIPHY alebo cez server, ktorý sa za ňu len vydáva. Útočník tak môže do zariadenia poslať škodlivý softvér, ktorý sa bude tváriť ako GIF obrázok.
Druhá bezpečnostná chyba s označením CVE-2020-6110 využíva doplnok v aplikácii Zoom. Služba je totiž postavená na XMPP štandarde s možnosťou rozšírení. Jedno také rozšírenie umožňuje posielanie zdrojových kódov s plne zvýraznenou syntaxou kódu. Pokiaľ niekto používateľovi takýto zdrojový kód pošle, služba mu ponúkne nainštalovanie doplnku pre jeho prijatie. Služba potom šifruje zdrojový kód v zip archive, ktorým ale môže útočník maskovať škodlivý softvér. Bezpečnostné chyby sú prítomné v Zoome verzie 4.6.12 na systémoch Windows, macOS a Linux.
Aké sú alternatívy?
Pokiaľ nemáte kvôli bezpečnostným chybám dôveru v službu Zoom, tak môžete vyskúšať viacero alternatívnych možnosti. Spoločnosť Google ponúka službu Google Meet a priamo pre smartfóny aj Google Duo. Konkurenčný Microsoft má v ponuke už rokmi overenú službu Skype. Z mobilných aplikácií sú populárnym riešením aj WhatsApp, Facebook Messenger alebo Viber.
