Mastodon
Zdjęcie okładkowe wpisu Zoom nie szanuje zupełnie prywatności swoich użytkowników – unikajcie tego narzędzia

Zoom nie szanuje zupełnie prywatności swoich użytkowników – unikajcie tego narzędzia

10
Dodane: 5 lat temu

Zoom to narzędzie m.in do prowadzenia wideorozmów, a w ostatnich tygodniach znowu jest o nim głośno i nie tylko dlatego, że dużo ludzi z niego korzysta. Tak, była kolejna afera w kwestii prywatności naszych danych.

lipcu 2019 roku opublikowano informację o dziurze w Zoom, która pozwalała przejąć kontrolę wrogiej osobie nad kamerką w Macach i PC-tach. Ta dziura została zgłoszona Zoomowi w marcu 2019, a oni to zignorowali i w międzyczasie naprawili inną dziurę. Ten problem dotyczył też aplikacji wykorzystujących technologię Zooma – RingCentral i Zhumu (chińska wersja Zooma). W skrócie, dziura polegała na tym, że Zoom instalował, bez informowania o tym użytkownika, serwer webowy, który pozostawał aktywny nawet po odinstalowaniu aplikacji. To właśnie przez niego można było przejąć kontrolę nad kamerą. Rzecznik prasowy Zooma odpisał do BuzzFeed News, że to feature, a nie bug. Ten feature zdobył taki rozgłos, że Apple wysłało wszystkim Macuserom „cichy” update, który usuwał dziurawy serwer webowy.

Kilka dni temu Zoom znowu wpadł pod lupę, bo okazało się, że ich wersja na iOS zawierała SDK Facebooka, który zbierał i wysyłał Facebookowi informacje na temat użytkownika, nawet jeśli nie miał on konta na tej platformie. Te informacje zawierały informacje o urządzeniu użytkownika, strefę czasową, w której się znajduje, jego lokalizację, używanego operatora komórkowego oraz unikalny ID do celów reklamowych. Zoom w międzyczasie już usunęło SDK Facebooka z ich aplikacji na iOS.

Jakby tego było mało, Zoom w wersji dla Mac całkowicie łamie dobre zwyczaje instalatorów. Aplikacja przeprowadza całą procedurę instalacji zanim się zgodzimy na nią, w sekcji preflight, która powinna być wykorzystywana do sprawdzania czy np. aplikację można zainstalować, albo czy jest już zainstalowana itp.

Na deser jest jeszcze jeden temat – Zoom pozwala administratorom podglądać jak, gdzie i kiedy użytkownicy korzystają z aplikacji (widzą adres IP, lokalizację, informacje o urządzeniu), a jeśli Ci ostatni nagrają rozmowę, to Ci pierwsi mają do niej dostęp, w tym do wideo, audio, czatu i transkrypcji.


Jest sporo innych narzędzi, więc jeśli możecie, to nie korzystajcie z Zooma. A jeśli już musicie, to prawdopodobnie najbezpieczniej będzie to robić na iPadzie lub iPhonie, tylko upewnijcie się, że macie najnowszą wersję. Alternatywnie można też z Zooma korzystać przez WWW i najlepiej połączyć to z prywatnym oknem w przeglądarce oraz VPN-em.

Wojtek Pietrusiewicz

Wydawca, fotograf, podróżnik, podcaster – niekoniecznie w tej kolejności. Lubię espresso, mechaniczne zegarki, mechaniczne klawiatury i zwinne samochody.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .

Komentarze: 10

A co to oznacza, że Zoom mógł przejmować sterowanie kamerą w MacBookach?

Czy jednak mamy zaklejać ją taśmą, czy świecenie się diody jest nie do obejścia, bo to sprzętowe połączenie i po prostu aplikacja mogła kamerę włączyć, ale użytkownik widział, że jest włączona?

Oznacza to, że niepowołana osoba mogła zdalnie obserwować Ciebie i otoczenie przez nią.

Nie masz zaklejać taśmą, tylko wywalić zoom i jego web serwer.

Chodzi mi o to, czy znaleźli obejście uaktywniania diody i pozostawali niewidoczni podczas nagrywania, czy to użytkownik mógł zauważyć dostrzegając zielone światełko?

Nie będę wywalać zooma, bo go nie mam, jeżeli jednak okaże się, że zabezpieczenie nie jest w 100% sprzętowe i da się obejść to zacznę, bo zawsze po fakcie będę się dowiadywał (lub nie) że jakieś oprogramowanie mnie nagrywało.

Sam już nie mam pewności, wydaje mi się że uaktywnienie kamery jest powiązane sprzętowo z uruchomieniem diody tak jak dyskietki czy karty SD mają sprzętowe zabezpieczenie przed zapisem, którego żadne oprogramowanie nie jest w stanie obejść.

Myślisz o Macach wyposażonych w Apple T2, które rzeczywiście mają lepiej zabezpieczoną kamerę, ale przyznam się, że nie słyszałem, aby komukolwiek udało się uruchomić kamerkę w macOS bez zaświecenia diody. Mogę się oczywiście mylić, ale nie kojarzę, aby coś takiego się wydarzyło. Nie wiem jak to było w przypadku Zooma – nie znalazłem info na ten temat.

Gdzie ten web serwer jest instalowany, żeby go można było usunąć?