Zoom: szárnyalásból adatvédelmi botránysorozat
Nem volt fenékig tejföl a videokonferencia platform elmúlt hetekben produkált menetelése, a brutálisan megugró felhasználószámokat naponta követték az újabb biztonsági problémák - a cég most másfél hónapot csak ezek tatarozására szán.
Az utóbbi hetekben, akárcsak más videochat- és kollaborációs platformok, a Zoom népszerűsége is az egekbe lőtt ki. A globális koronavírus járvány miatt otthon maradó tömegek az irodai meetingeket, az iskolai tanórákat és a baráti találkozókat is előszeretettel bonyolítják le a szolgáltatás felületén. Míg tavaly decemberben az alkalmazásban egy napon belül indított meetingek résztvevőinek száma 10 millió volt, márciusra ez az érték a 200 milliót is átlépte. A frissen kapott reflektorfénynek azonban nem csak pozitív hozadéka volt, az az elmúlt napokban a cég néhány komolyabb biztonsági problémájára és problémás adatkezelési gyakorlatára is rávilágított.
VÉLETLEN ADATMEGOSZTÁS?
Mint néhány napja kiderült, a vállalat iOS-es alkalmazása külső felekkel, többek között a Facebookkal is megosztotta felhasználóinak adatait, azok megfelelő tájékoztatása nélkül. Ahogy a CBS is beszámolt róla, egy a cég ellen Kaliforniában indított per iratai szerint a Zoom jelezte a Facebook felé, ha egy felhasználó bejelentkezett egy-egy konferenciahívásba - ilyenkor a közösségi oldalnak a cég olyan ügyféladatokat is átadott, mint az adott híváshoz használt készülék típusa, operációs rendszere, kijelzőmérete és egyedi azonosítója, amelyet a közösségi óriásnak célzott hirdetések kiosztásához jöhettek kapóra.
Az adatmegosztást a Zoom is elismerte, noha kapcsolódó blogposztjában arról beszélt, az a Facebook profillal történő bejelentkezéshez használt SDK-nak volt köszönhető, amely az adatokat cég tudta nélkül továbbította a közösségi oldal felé. A poszt szerint a Zoom kigyomlálta a szóban fogó Facebook SDK-t szolgáltatásából, így a későbbiekben nem kell hasonló adatszivárgástól tartani. A képet valamelyest árnyalja ugyanakkor, hogy a fenti per szerint a külső felek fizettek is a Zoomnak az adatok megosztásáért, így kérdéses, hogy az valóban a cég tudtán kívül zajlott-e. A cég mindenesetre tagadja, hogy értékesítette volna felhasználóinak adatait.
A vállalat hitelességét ugyanakkor tovább rontja, hogy az a napokban adatvédelmi irányelveit is módosítani kényszerült, ugyancsak a felhasználói adatok értékesítésére vonatkozó problémák miatt. A dokumentum eredeti verziója ugyanis nyitva hagyta a cég számára a lehetőséget, hogy információkat gyűjtsön be a felhasználók online találkozóiról, akár a videók, azok szöveges átiratai vagy épp a megosztott jegyzetek elemzésével - és a hirdetések targetálásának lehetőségét is nyitva hagyta, akár a Zoom akár más platformok felületén. Miután a dokumentum problémás szövegezésére fény derült, a Zoom gyorsan módosította azt, bezárva a sorolt kiskapukat.
ZOOMBOMBING
Ezzel ugyanakkor még korántsem ér véget a videokonferencia-platform kálváriája, a vállalatnak a "Zoombombing" jelenség is fejfájást okozott. Ez utóbbinál egy-egy videobeszélgetésbe idegenek hívatlanul csatlakoznak be, kameraképükön pedig obszcén tartalmakat jelenítenek meg. A hasonló trollok előtt Zoom rendszerének hiányosságai nyitnak utat: a rendszer minden híváshoz egy 9, 10 vagy 11 jegyű, véletlenszerűen generált ID-t hoz létre, amelynek birtokában csatlakozni lehet az adott beszélgetéshez, a belépéshez pedig az app alapértelmezetten nem kér jelszót.
A tréfás kedvű felhasználók így néhány tetszőleges karaktersort végigpróbálgatva random videokonferenciákban köthetnek ki, amelyeket aztán oda nem illő tartalmakkal áraszthatnak el - a hatékonyabb trollok pedig akár brute force megoldásokkal is végigpróbálgathatják a lehetséges azonosítókat. Az ügy kapcsán kirobbant botrány hatására a Zoom gyorsan módosította az oktatásban használt fiókok alapértelmezett beállításait, mindenki másnak azonban továbbra is magának kell gondoskodnia beszélgetéseinek védelméről. A Zoombombing veszélyeire már az FBI is felhívta az iskolák figyelmét.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A cégnek (és felhasználóinak) az email domének kezelésével is meggyűlt a baja. A Zoom a vállalati felhasználókat az email címükben található doménjelölések alapján automatikusan csoportokba rendezi, egy közös "Company Directory" létrehozásával. A listák kereshetők, abban az email cím mellett a felhasználók fényképe is látható, illetve természetesen videohívás is indítható velük. Noha céges környezetben hasznos funkcióról van szó, a szolgáltatás néhány magán email címet is elkezdett hasonló csoportokba rendezni, amelyek a felhasználók internetszolgáltatói által biztosított doméneket használták. A Zoom a hasonló csoportosítást tiltja az olyan publikus doméneknél, mint a gmail.com vagy a yahoo.com, ugyanakkor úgy tűnik, a kisebb, szolgáltatói végződések elkerülték a cég figyelmét. Emiatt számos felhasználó kötött ki kéretlenül hasonló csoportokban, ahol számukra idegen felhasználók fotójához és email címéhez is hozzáfértek. A Zoom, miután tudomást szerzett a hibáról, a szóban forgó domének csoportba rendezését is letiltotta.
MI SZÁMÍT VÉGPONTNAK?
Ezzel ugyanakkor még mindig nem beszéltünk a platform talán legfájdalmasabb bakijáról: a cég weboldalán azt állította, az online meetingek végpontok közötti titkosítással biztosíthatók, valójában azonban szó sem volt hasonló védelemről - mint kiderült, a cég elég sajátosan értelmezte a végpontok közötti titkosítás fogalmát. Utóbbi, vagyis az "end-to-end encryption" funkció, amelynek használatához számítógépről kellett csatlakozni az egyes hívásokhoz, a cég webes felületén, biztonsági white paperében, és magában az alkalmazásban is megtalálható volt. Az app a funkciót bekapcsolva, az egeret a hívás közben megjelenő lakat ikon fölé húzva arról tájékoztatott, hogy a Zoom éppen végpontok közötti titkosítást használ.
Miután azonban a The Intercept rákérdezett a funkcióra a cégnél, gyorsan kiderült, hogy szó sincs valódi end-to-end titkosításról. Ahogy a Zoom szóvivője fogalmazott a szolgáltatásban jelenleg nem lehetséges a videomeetingek hasonló titkosítása, azok TCP és UDP protokollokra támaszkodnak, előbbi a HTTPS felületekről ismerős TLS titkosítással, utóbbi pedig AES kulcsra építő védelemmel, amelyet ugyancsak TLS kapcsolaton keresztül kommunikál.
A kapcsolat tehát valóban rendelkezik titkosítással, ugyanakkor nagyon is lényeges különbség az end-to-end megoldásokkal szemben, hogy maga a Zoom így továbbra is hozzáférhet a videohívások anyagához. A szóvivő szerint ugyanakkor a cég mikor end-to-end titkosításról beszél, az alatt valójában a "Zoom végpontok" közötti titkosítást érti - és a Zoom szervereit is ilyen végpontnak tekinti. Meglehetősen egyedi értelmezésről van tehát szó, amely a felhasználókat garantáltan félrevezeti. Jelenleg a Zoom egyetlen valódi end-to-end titkosítást élvező szolgáltatása a szöveges chat. A videohívásokhoz a cég továbbra is hozzáfér, illetve ennek megfelelően, például hatóság megkeresésre ki is tudja adni azok anyagát.
TÚLZOTT FIGYELEM
Említést érdemel a fentieken túl az Decrypt jelentése is, amely a Zoom "figyelemkövető" funkciójának potenciális adatvédelmi aggályaira mutat rá. A vállalati felhasználókat célzó megoldással az adminisztrátorok jelzést kaphatnak, ha egy-egy felhasználónál a Zoom alkalmazás fél percnél hosszabb időre kerül háttérbe - és az is követhető vele, hogy épp milyen programok futnak a számítógépen. Ez utóbbi funkciót a körülötte alakuló botrány rövidre zárása érdekében a vállalat a napokban teljes egészében kigyomlálta a szolgáltatásból.
Végül de nem utolsó sorban a cég megítélésének az sem tett jót, hogy kiderült, macOS-re szánt telepítője a platformot célzó kártevőkhöz hasonló kerülőutakat használt és a szoftvert a felhasználó teljes beleegyezése nélkül tudta telepíteni. A cég szerint ez azt szolgálta, hogy a felhasználók gyorsan és egyszerűen tudjanak az online meetingekhez kapcsolódni - a negatív visszhang hatására ugyanakkor a cég gyorsan átváltott a hagyományos telepítőre.
A fiaskók sorozata után a cég blogposztban kért elnézést a felhasználóktól és ígéretet tett, hogy rendbe hozza a szolgáltatás meglehetősen foghíjas biztonságát. A cég ennek megfelelően egy időre befagyasztja az új funkciók fejlesztését és a következő 90 nap során minden erőforrását a felmerült problémák orvoslására szánja, a platform biztonsági ellenőrzésébe továbbá külső szakértőket is bevon. A cég mindezek mellett a közeljövőben egy átláthatósági jelentés közzétételét is tervezi.