(Aktualizované 28.3.2020 o 10:40)
Počas koronakrízy sa nástroje pre videokonferencie stávajú oveľa viac populárnymi. Nie všetky sú však dostatočne zabezpečené. Takým prípadom je aj aplikácia Zoom pre Apple iOS, ktorá odosiela niektoré analytické údaje Facebooku, a to dokonca aj vtedy, keď používatelia na ňom nemajú založený účet.
Podľa analýzy Motherboard, po stiahnutí a otvorení aplikácie sa Zoom pripojí k facebookovému rozhraniu Graph API, pomocou ktorého vývojári získavajú, resp. odosielajú údaje Facebooku. Vzápätí aplikácia upozorní sociálnu sieť, že používateľ spustil aplikáciu a odošle jej podrobnosti o zariadení, časovom pásme, polohe a operátorovi spolu s identifikátorom, ktorý slúži spoločnostiam na zacielenie reklám.
Napriek tomu, že tento prenos údajov nie je neobvyklý, v tomto prípade si však používatelia Zoomu nemusia byť vedomí, že k nemu dochádza a že poskytujú údaje aj úplne inej službe.
„Je to šokujúce. V ich politike ochrany osobných údajov sa to nikde nespomína,“ uviedol pre Motherboard Pat Walsh, aktivista spoločnosti Privacy Matters.
Zoom sa v tomto dokumente konkrétne nevyjadruje k zhromažďovaniu údajov ani ich prenosu na Facebook, ani k odosielaniu údajov používateľov, ktorí na sociálnej sieti nemajú založený účet. Píše len, že spoločnosť môže zhromažďovať informácie o používateľovom profile na Facebooku, ak sociálnu sieť používa na prihlásenie sa do aplikácie Zoom.
Vydali aktualizáciu
V piatok 27.3. vydal Zoom aktualizáciu, ktorá zastavila preposielanie istých dát Facebooku.
„Zoom berie súkromie používateľov extrémne vážne… Odstránime súpravu na vývoj softvéru od Facebooku a prekonfigurujeme funkciu tak, aby sa používatelia mohli aj naďalej v prehliadači prihlasovať cez Facebook. Používatelia ale budú potrebovať aktualizovať našu aplikáciu na najnovšiu verziu hneď, keď bude dostupná, aby sa zmena prejavila, k čomu ich vyzývame. Úprimne sa ospravedlňujeme za toto nedopatrenie a pevne sa zaväzujeme k ochrane dát užívateľov,” uviedla spoločnosť vo vyhlásení.
Podľa Zoomu nezdieľali s Facebookom žiadne osobné údaje, ale len údaje o zariadeniach používateľov ako operačný systém, časové pásmo, model zaraidenia, rozlíšenie, počet procesorov a veľkosť úložiska.
Zoom a jeho problémy s bezpečnosťou
Napriek dnešnej veľkej popularite má Zoom za sebou už viacero problémov, ktoré sa týkali bezpečnosti a súkromia.
Organizácia Electronic Frontier Foundation upozornila napríklad na problém s pofidérnou funkciou sledovania pozornosti účastníkov. Tá správcom hovorov umožňuje zistiť, či účastníci majú otvorené okno Zoom, a teda či venujú pozornosť hovoru. Okrem toho správcovia môžu vidieť IP adresu, údaje o polohe a informácie o zariadení každého účastníka.
Ešte koncom januára tohto roku výskumníci zo spoločnosti Check Point našli v nástroji implementačnú chybu pri generovaní URL adries pre videohovory. Pokiaľ nebol prístup k hovoru chránený heslom, potenciálny útočník si mohol vygenerovať náhodné čísla ID hovorov a skúsiť sa k ním pripojiť.
Ďalšia implementačná chyba sa nachádzala v desktopovej aplikácii Zoom pre macOS a týkala sa prístupu k webkamere používateľa. Aplikácia totiž od druhej strany nepožadovala povolenie na prístup k hovoru, a tak po otvorení URL adresy hovoru ju bolo možné sledovať ihneď.
This new @zoom_us feature fully patches the #SecurityVulnerability where users were maliciously joined to a call without their permission.
— Jonathan Leitschuh (@JLLeitschuh) July 15, 2019
Doing this in a week is an example the kind of fast response times we want to see in a properly executed bug bounty program!
Go Update! pic.twitter.com/Xrl7GXQW5r
(SK + VK)