Zoom: какие есть риски и как безопасно использовать приложение
Скачок популярности Zoom после введения всемирной самоизоляции показал множество проблем с безопасностью приложения, многие из которых носили критический характер. Некоторые организации запретили использование сервиса для решения служебных задач, но осталось достаточно тех, кто продолжает зумиться, поскольку достойных альтернатив не так много. В этой статье выясним, насколько велики риски тех, кто хранит верность Zoom, не обращая внимания на предупреждения. Хит-парад багов Zoom За последние несколько месяцев публикации о критических уязвимостях в Zoom появлялись в лентах новостей едва ли не чаще, чем сообщения об ошибках Windows. Приведем самые нашумевшие проблемы: 1.вопросы к шифрованию и расшифровке записей конференций; 2.zero-day-уязвимость стоимостью 500 тыс. долларов США; 3.неавторизованные XMPP-запросы; 4.уязвимости в macOS-клиенте, предоставлявшие доступ к камере и микрофону; 5.уязвимость в Windows-клиенте, позволявшая похитить логин и пароль пользователя через ссылку и запустить любое приложение; 6.передача данных в LinkedIn и Facebook; 7.утечка пользовательских данных; 8.утечка сотен тысяч записей видеоконференций и их публикация на YouTube и Vimeo; 9.зумбомбинг. Вопросы к шифрованию На сайте Zoom декларируется, что все видеозвонки защищены end-2-end-шифрованием, однако исследователи выяснили, что в действительности все не так красиво: сервис действительно использует шифрование, но сеансовый ключ клиентская программа запрашивает у одного из серверов "системы управления ключами", входящими в состав облачной инфраструктуры Zoom. Эти серверы генерируют ключ шифрования и выдают его абонентам, которые подключаются к конференции — один ключ для всех участников конференции. Передача ключа от сервера к клиенту происходит через протокол TLS, который также используется для https. Если кто-то из участников конференции пользуется Zoom на телефоне, копия ключа шифрования также будет передана еще одному серверу-коннектору телефонии Zoom. Часть серверов системы управления ключами (5 из 73) расположена в Китае, причем они используются для выдачи ключей даже когда все участники конференции находятся в других странах. Учитывая степень зависимости от правительства китайских провайдеров, возникают справедливые опасения, что гипотетически правительство КНР может перехватить зашифрованный трафик, а затем расшифровать его с помощью ключей, полученных от провайдеров в добровольно-принудительном порядке. Еще одна проблема шифрования в Zoom связана с его практической реализацией: -хотя в документации указано, что используются 256-битные ключи AES, их фактическая длина составляет лишь 128 бит; -алгоритм AES работает в режиме ECB — худшем из возможных режимов работы AES, проблема которого в том, что зашифрованные данные частично сохраняют структуру оригинальных данных. Zero-day-уязвимость за $500 тысяч В середине апреля с. г. были обнаружены zero-day-уязвимости в клиентах Zoom для Windows и macOS. RCE-уязвимость Windows-клиента практически сразу же была выставлена на продажу неизвестными за 500 тыс. долларов США. По заявлению продавцов, она позволяет удаленно выполнить произвольный код на Windows-компьютере с установленным клиентом Zoom. Для эксплуатации этой ошибки атакующий должен был позвонить жертве, либо участвовать с ней в одной конференции. Уязвимость в macOS-клиенте не давала таких возможностей, поэтому ее использование в реальных атаках маловероятно. Ответы на неавторизованные XMPP-запросы В конце апреля в Zoom обнаружилась еще одна неприятная уязвимость. С помощью специально сформированного XMPP-запроса любой желающий мог получить список всех пользователей сервиса, относящихся к любому домену. Две уязвимости в macOS-клиенте Бывший сотрудник АНБ Патрик Уордл обнаружил в Zoom-клиенте для macOS две уязвимости, позволявшие злоумышленнику захватить контроль над устройством. Первая уязвимость была связана с тем, что инсталлятор Zoom применял технику теневой установки, которую часто используют вредоносные программы, чтобы установиться без взаимодействия с пользователем. Локальный непривилегированный злоумышленник мог внедрить в инсталлятор Zoom вредоносный код и получить привилегии root. Вторая уязвимость позволяла атакующему внедрить вредоносный код в установленный Zoom-клиент и получить доступ к камере и микрофону, которые уже предоставлены приложению. При этом не будет отображаться никаких дополнительных запросов или уведомлений. UNC-уязвимость в Windows-клиенте Обнаруженная в клиенте Zoom для Windows уязвимость могла привести к утечке учетных данных пользователей через UNC-ссылки. При использовании Zoom участники конференции могут отправлять друг другу текстовые сообщения через интерфейс чата. Если сообщение содержит адрес сайта или ресурса, он автоматически преобразуется в гиперссылку, чтобы другие участники могли нажать на нее и открыть в браузере по умолчанию. Windows-клиент Zoom преобразует ссылки в UNC-пути. Если отправить в чат ссылку вида \\abc.com\img\kitty.jpg, Windows попытается подключиться к этому сайту, используя протокол SMB, чтобы открыть файл kitty.jpg. Удаленный сайт получит от локального компьютера имя пользователя и NTLM-хэш, который можно взломать, используя утилиту Hashcat или другие инструменты. Утечки учетных данных В начале апреля на одном из хакерских форумов опубликовали учетные данные 2300 пользователей Zoom. Данные в базе принадлежат банкам, консультационным компаниям, образовательным учреждениям, больницам и разработчикам софта. Некоторые записи, помимо логинов и паролей, содержали идентификаторы встреч, имена и ключи их организаторов. Утечки записей видеозвонков В начале апреля на YouTube и Vimeo появились в открытом доступе записи личных видеозвонков пользователей Zoom. В их числе были школьные уроки, психотерапевтические сеансы и консультации врачей, а также корпоративные совещания. Причиной утечки стало то, что сервис присваивал видеоконференциям открытые идентификаторы, а организаторы конференций не защищали доступ к ним паролем. В результате любой желающий мог "слить" записи и использовать их по своему усмотрению. Передача данных в Facebook В конце марта разразился небольшой скандал: iOS-версия Zoom передавала данные в Facebook даже если у пользователя не было учетной записи в социальной сети. Приложение Zoom использовало Facebook Graph API —специальный программный интерфейс, который позволяет обмениваться данными с социальной сетью. Когда пользователь открывал Zoom, сведения о его устройстве, местоположении, часовом поясе и сотовом операторе вместе с уникальным рекламным идентификатором отправлялись в Facebook. Зумбомбинг Вызванный пандемией взрывной рост количества пользователей сервиса в сочетании с не слишком строгими настройками безопасности конференций по умолчанию создал благоприятные условия для разного рода пранков и троллинга. Появились целые сообщества зум-троллей, которые врываются на онлайн-уроки и упражняются там в своеобразном "остроумии", включая трансляцию своего экрана с игрой или порнороликом, разрисовывая документ на экране непристойными изображениями или громко матерясь. Но проблема значительно шире, чем просто срыв онлайн-уроков. Журналисты The New York Times нашли множество закрытых чатов и веток на форумах Reddit и 4Chan, участники которых организуют массовые кампании по срыву публичных мероприятий, онлайн-встреч обществ анонимных алкоголиков и других Zoom-встреч. Они разыскивают опубликованные в общем доступе реквизиты для подключения, а затем собирают и размещают на форумах списки мероприятий, приглашая других троллей присоединиться к "веселью". Реакция компаний и Zoom Учитывая обилие проблем с безопасностью, многие компании и правительственные организации отказываются от Zoom, запрещая своим сотрудникам пользоваться сервисом. В их числе Google, Сенат США и Правительство Германии, NASA и SpaceX, а также множество других компаний и правительств разных стран. Программ без ошибок не бывает, поэтому их обнаружение в Zoom не является чем-то необычным. Гораздо важнее то, как компания-разработчик реагирует на выявленные ошибки. На начальном этапе Zoom проявил совершенно неприемлемую медлительность, игнорируя уведомления о проблемах. Однако массовые отказы от использования сервиса сыграли свою роль. В своем интервью CNN в начале апреля CEO Zoom Эрик Юань сказал, что компания двигалась слишком быстро, поэтому они допустили некоторые ошибки. Усвоив урок, они сделали шаг назад, чтобы сосредоточиться на конфиденциальности и безопасности. Этим шагом назад стала программа "90 дней к безопасности", запущенная 1 апреля 2020 года. В соответствии с ней компания останавливает работу над новыми функциями и занимается только устранением выявленных проблем, а также проводит аудит безопасности кода. Видимым для пользователей результатом этой программы стал выпуск Zoom версии 5.0, в которой помимо прочего был произведен апгрейд AES-шифрования до 256 бит, а также реализовано множество других доработок, связанных с безопасностью по умолчанию. Рекомендации Использование любых программ требует ответственного отношения к безопасности, и Zoom не исключение. Правила, которые помогут защитить ваши онлайн-конференции. 1.Используйте последнюю версию ПО. 2.Загружайте установщик программы только с официальных ресурсов. 3.Убедитесь, что ID встречи генерируется автоматически для повторяющихся мероприятий. 4.Не публикуйте ID встреч в интернете. 5.Запретите передачу файлов. 6.Разрешите показ экрана только организатору встречи, чтобы защититься от зумбомбинга. 7.Разрешайте подключение к встречам только авторизованным пользователям. 8.Закройте возможность новых подключений после начала мероприятия. 9.Включите для организатора возможность блокировать или удалять участников встречи. Меры, которые реализует разработчик Zoom, и соблюдение правил "онлайн-гигиены" для видеоконференций позволят эффективно и безопасно работать даже в условиях пандемии. |
Комментарии (0) | |