Προβλήματα ιδιωτικότητας και ασφάλειας της εφαρμογής Zoom έρχονται στο φως

Καθώς εκατομμύρια άνθρωποι μένουν σπίτι προκειμένου να αναχαιτιστεί η πανδημία του COVID-19, οι εφαρμογές για διασκέψεις με βίντεο (videoconferencing) γνωρίζουν

Καθώς εκατομμύρια άνθρωποι μένουν σπίτι προκειμένου να αναχαιτιστεί η πανδημία του COVID-19, οι εφαρμογές για διασκέψεις με βίντεο (videoconferencing) γνωρίζουν εκρηκτική ανάπτυξη στην εργασία, την εκπαίδευση και την ψυχαγωγία. Από όλες τις πλατφόρμες, η εφαρμογή Zoom φαίνεται να είναι αυτή που παίζει πρωταγωνιστικό ρόλο.  

Εντούτοις, η τεράστια ζήτηση από άτομα και εταιρείες συνέβαλε στο να αποκαλυφθούν τα θέματα ιδιωτικότητας και ασφάλειας που αντιμετωπίζει η συγκεκριμένη πλατφόρμα, η οποία πλέον χρησιμοποιείται για καθημερινές διασκέψεις με βίντεο ακόμα και από την ίδια τη Βρετανική Κυβέρνηση (είναι πολύ ενδιαφέρον βέβαια ότι το Βρετανικό Υπουργείο Άμυνας απαγορεύει στους υπαλλήλους του να χρησιμοποιούν τη συγκεκριμένη εφαρμογή).

Ο δημιουργός της εφαρμογής έχει δεχθεί κριτική από πολλά μέτωπα, από  υπερασπιστές της προστασίας της ιδιωτικότητας και ειδικούς ασφαλείας, μέχρι γενικούς εισαγγελείς των ΗΠΑ, τον Γερουσιαστή Richard Blumenthal, ή ακόμα και το FBI. Οι κακές ειδήσεις αυξήθηκαν τις προηγούμενες μέρες, αναγκάζοντας την εταιρεία να απαντήσει στα όσα της καταλογίζουν.

Στις αρχές του μήνα, ο ιδρυτής και CEO της εταιρείας Eric S. Yuan απολογήθηκε για τα προβλήματα και παρουσίασε τα μέτρα που λήφθηκαν για την ενίσχυση της ασφάλειας και της προστασίας της ιδιωτικότητας της εφαρμογής Zoom. Επίσης, ανακοίνωσε το πάγωμα της προσθήκης νέων χαρακτηριστικών για τις επόμενες 90 ημέρες, προσθέτοντας ότι όλοι οι πόροι και οι τεχνικοί της εταιρείας θα «εστιάσουν στην επίλυση των ζητημάτων εμπιστοσύνης, ασφάλειας και ιδωτικότητας».

Αυτά είναι τα πέντε σημεία κλειδιά στα οποία επικεντρώθηκαν οι τεχνικοί της Zoom την τελευταία εβδομάδα:

• Στο πλαίσιο της δήλωσης περί προστασίας της ιδιωτικότητας, η Zoom παρέλειψε να αναφέρει ότι η έκδοση iOS της εφαρμογής αποστέλλει στοιχεία analytics στο Facebook ακόμα και αν οι χρήστες δε διαθέτουν λογαριασμό στο Facebook, σύμφωνα με στοιχεία που δημοσίευσε το Vice την προηγούμενη εβδομάδα.  Η εταιρεία αναγνώρισε το πρόβλημα και αφαίρεσε το Facebook Software Development Kit (SDK) από το iOS. Εντούτοις, στην Καλιφόρνια εκκρεμεί αγωγή κατά της  Zoom.
• Παρά τις διαβεβαιώσεις για το αντίθετο, σύμφωνα με έρευνα που έγινε από τον ειδησεογραφικό οργανισμό The Intercept οι διασκέψεις video που γίνονται μέσω της εφαρμογής δεν υποστηρίζουν κρυπτογράφηση end-to-end. Η Zoom απολογήθηκε και διευκρίνισε ότι χρησιμοποιεί κρυπτογράφηση TLS. Η ειδοποιός διαφορά είναι ότι η συγκεκριμένη μέθοδος επιτρέπει στην εταιρεία πρόσβαση στην επικοινωνία των χρηστών.
• Εντοπίστηκαν, επίσης, αρκετές ευπάθειες ασφαλείας στην εφαρμογή, αν και αυτές αποκαταστάθηκαν γρήγορα. Στην έκδοση για τα Windows, εντοπίστηκε μια ευπάθεια (UNC path injection flaw) που μπορούσε να αποκαλύψει τα διαπιστευτήρια σύνδεσης (login credentials) των χρηστών Windows και να οδηγήσει στην εκτέλεση αυθαίρετων εντολών στις συσκευές τους. Δύο ακόμα bugs, που επηρέαζαν την έκδοση της εφαρμογής Zoom για υπολογιστές Mac, έδιναν τη δυνατότητα σε κάποιον να επιτεθεί και να πάρει τον έλεγχο του υπολογιστή.
• Η εταιρεία επίσης αφαίρεσε το χαρακτηριστικό «attendee tracking» που διέθετε η εφαρμογή Zoom και έδινε τη δυνατότητα στο διοργανωτή της βιντεοδιάσκεψης (host) να ελέγχει αν οι συμμετέχοντες παρακολουθούν με προσοχή, όταν η εφαρμογή βρίσκεται σε λειτουργία διαμοιρασμού οθόνης.
• Τέλος, μετά από πολλές καταγγελίες το FBI εξέδωσε προειδοποίηση ότι τρολ (troll) και φαρσέρ παρενοχλούσαν ιδιωτικές βιντεοκλήσεις και online σχολικές τάξεις.

Τα θέματα αυτά πιθανά να επηρέασαν ένα μεγάλο αριθμό ατόμων, καθώς τους προηγούμενους τρεις μήνες, ο αριθμός χρηστών της πλατφόρμας εκτινάχθηκε από τα 10 εκατομμύρια στα 200 εκατομμύρια. Όπως παραδέχθηκε ο  Yuan, η εφαρμογή Zoom δεν ήταν έτοιμη για την απρόβλεπτη αυτή ανάπτυξη. «Πλέον υπάρχει ένα ευρύτερο σύνολο χρηστών που χρησιμοποιούν το προϊόν μας με χιλιάδες απρόσμενους τρόπους, θέτοντάς μας μπροστά σε προκλήσεις που δεν είχαμε προβλέψει όταν η πλατφόρμα δημιουργήθηκε» είπε.

Πως να παραμείνετε ασφαλείς

Σύμφωνα με την ESET, ακόμα και σε αυτήν την εποχή της απομακρυσμένης εργασίας δεν πρέπει να παραβλέπουμε το θέμα της ιδιωτικότητας και της ασφάλειας (και όχι μόνο όταν μιλάμε για videoconferencing). Όσο εντυπωσιακό και πλούσιο σε χαρακτηριστικά και αν είναι ένα λογισμικό, μπορεί να μας εκθέσει σε νέες απειλές.

Σύμφωνα με τους ειδικούς της ESET, αυτά είναι τα πλέον αποτελεσματικά μέτρα που μπορείτε να πάρετε για να προστατέψετε την ασφάλειά σας και την ιδιωτικότητά σας όταν χρησιμοποιείτε την εφαρμογή Zoom:   

• Χρησιμοποιείτε κωδικούς για την προστασία των διασκέψεων και/ή ελέγχετε τους συμμετέχοντες με τη βοήθεια της δυνατότητας «Waiting Room» που προσφέρει το Zoom.
• Επιτρέψτε τη δυνατότητα διαμοιρασμού οθόνης (screen sharing) μόνο στο διοργανωτή (host).
• Χρησιμοποιείστε την τελευταία έκδοση της εφαρμογής Zoom.
• Μη δημοσιεύετε links ή meeting IDs στα κοινωνικά μέσα.
• Προτιμήστε τη χρήση των meeting IDs και όχι των links όταν προσκαλείτε άλλους συμμετέχοντες στο Zoom, καθώς έχει σημειωθεί αύξηση των κακόβουλων domains που προσπαθούν να εκμεταλλευτούν την αναπάντεχη επιτυχία της εφαρμογής.