5 συμβουλές για μεγαλύτερη ασφάλεια στο Zoom

Δημοσιεύτηκε στις 10 Απριλίου 2020

Το Zoom έχει εξελιχθεί στην εφαρμογή που έχει κερδίσει τα περισσότερα φώτα της δημοσιότητας τις τελευταίες εβδομάδες. Ο ένας λόγος είναι η αλματώδης αύξηση της δημοτικότητας του καθώς από τα 10 εκατ. χρήστες έφθασε στα 200 εκατ. χρήστες και ο δεύτερος είναι τα πολλά προβλήματα ασφαλείας που έχουν δημοσιοποιηθεί.

Μπορεί κάποιος να προστατευθεί; Σύμφωνα με τους ειδικούς της ESET, μίας από τις γνωστές εταιρείας κυβερνοασφάλιας, αυτά είναι τα πλέον αποτελεσματικά μέτρα που μπορείτε να πάρετε για να προστατέψετε την ασφάλειά σας και την ιδιωτικότητά σας όταν χρησιμοποιείτε την εφαρμογή Zoom:  

• Χρησιμοποιείτε κωδικούς για την προστασία των διασκέψεων και/ή ελέγχετε τους συμμετέχοντες με τη βοήθεια της δυνατότητας «Waiting Room» που προσφέρει το Zoom.
• Επιτρέψτε τη δυνατότητα διαμοιρασμού οθόνης (screen sharing) μόνο στο διοργανωτή (host).
• Χρησιμοποιείστε την τελευταία έκδοση της εφαρμογής Zoom.
• Μη δημοσιεύετε links ή meeting IDs στα κοινωνικά μέσα.
• Προτιμήστε τη χρήση των meeting IDs και όχι των links όταν προσκαλείτε άλλους συμμετέχοντες στο Zoom, καθώς έχει σημειωθεί αύξηση των κακόβουλων domains που προσπαθούν να εκμεταλλευτούν την αναπάντεχη επιτυχία της εφαρμογής.

Αξίζει να σημειωθεί ότι τα πέντε σημεία κλειδιά στα οποία επικεντρώθηκαν οι τεχνικοί της Zoom την τελευταία εβδομάδα ήταν τα εξής:

Στο πλαίσιο της δήλωσης περί προστασίας της ιδιωτικότητας, η Zoom παρέλειψε να αναφέρει ότι η έκδοση iOS της εφαρμογής αποστέλλει στοιχεία analytics στο Facebook ακόμα και αν οι χρήστες δεν διαθέτουν λογαριασμό στο Facebook, σύμφωνα με στοιχεία που δημοσίευσε το Vice την προηγούμενη εβδομάδα. Η εταιρεία αναγνώρισε το πρόβλημα και αφαίρεσε το Facebook Software Development Kit (SDK) από το iOS. Εντούτοις, στην Καλιφόρνια εκκρεμεί αγωγή κατά της  Zoom.

Παρά τις διαβεβαιώσεις για το αντίθετο, σύμφωνα με έρευνα που έγινε από τον ειδησεογραφικό οργανισμό The Intercept οι διασκέψεις video που γίνονται μέσω της εφαρμογής δεν υποστηρίζουν κρυπτογράφηση end-to-end. Η Zoom απολογήθηκε και διευκρίνισε ότι χρησιμοποιεί κρυπτογράφηση TLS. Η ειδοποιός διαφορά είναι ότι η συγκεκριμένη μέθοδος επιτρέπει στην εταιρεία πρόσβαση στην επικοινωνία των χρηστών.

Εντοπίστηκαν, επίσης, αρκετές ευπάθειες ασφαλείας στην εφαρμογή, αν και αυτές αποκαταστάθηκαν γρήγορα. Στην έκδοση για τα Windows, εντοπίστηκε μια ευπάθεια (UNC path injection flaw) που μπορούσε να αποκαλύψει τα διαπιστευτήρια σύνδεσης (login credentials) των χρηστών Windows και να οδηγήσει στην εκτέλεση αυθαίρετων εντολών στις συσκευές τους. Δύο ακόμα bugs, που επηρέαζαν την έκδοση της εφαρμογής Zoom για υπολογιστές Mac, έδιναν τη δυνατότητα σε κάποιον να επιτεθεί και να πάρει τον έλεγχο του υπολογιστή.

Η εταιρεία επίσης αφαίρεσε το χαρακτηριστικό «attendee tracking» που διέθετε η εφαρμογή Zoom και έδινε τη δυνατότητα στο διοργανωτή της βιντεοδιάσκεψης (host) να ελέγχει αν οι συμμετέχοντες παρακολουθούν με προσοχή, όταν η εφαρμογή βρίσκεται σε λειτουργία διαμοιρασμού οθόνης.

Τέλος, μετά από πολλές καταγγελίες το FBI εξέδωσε προειδοποίηση ότι τρολ (troll) και φαρσέρ παρενοχλούσαν ιδιωτικές βιντεοκλήσεις και online σχολικές τάξεις.