Zoom: что известно о проблемах безопасности
Серьезные уязвимости сервиса видеоконференций Zoom были давно известны компаниям, которым приходилось сотрудничать с платформой. Dropbox ранее даже платила хакерам, чтобы те обнаружили ошибки в программном обеспечении компании, а затем надавила на Zoom, чтобы в компании начали их исправлять, передает Habr.com со ссылкой на The New York Times.
Год назад два участника конкурса хакеров, организованного Dropbox, смогли взломать Zoom, находясь в самолете и имея только медленное интернет-соединение. Они нашли серьезную уязвимость в программном обеспечении, которая могла позволить злоумышленникам скрытно контролировать компьютеры на MacOS от Apple.
Когда же Dropbox показал итоги работы хакеров с сингапурского мероприятия Zoom Video Communications, Zoom потребовалось более трех месяцев, чтобы исправить найденные уязвимости.
Эрик Юань, исполнительный директор Zoom, впоследствии написал сообщение в блоге с извинениями за задержку: "Мы неправильно оценили ситуацию и не ответили достаточно быстро - и эта ответственность лежит на нас".
После того, как на волне популярности Zoom в работе сервиса начали массово выявлять ошибки, у платформы появились защитники. По их мнению, сервис, изначально не предназначенный для предприятий, не мог предвидеть пандемию. "Я не думаю, что многие из этих вещей были предсказуемы", - говорил Алекс Стамос, бывший директор по безопасности в Facebook, который недавно стал советником по безопасности Zoom.
Бывшие инженеры Dropbox, однако, говорят, что текущие проблемы Zoom можно было увидеть еще два и более года назад. Поэтому, в качестве новой программы оценки безопасности для своих поставщиков и партнеров, Dropbox в 2018 году начал в частном порядке предлагать награды лучшим хакерам, чтобы найти уязвимости в программном коде Zoom и нескольких других компаний.
Сам Dropbox использовал сервис видеоконференций для внутренних собраний, и для него Zoom стал "критически важным средством поддержания связи между командами". Ранее, в 2019 году, Dropbox инвестировал в компанию $5 млн. Кроме того, Брайан Шрайер, директор Dropbox, является партнером в Sequoia Capital, которая вложила в Zoom $100 млн.
Начиная с 2018 года, Dropbox в частном порядке предлагал вознаграждения главным хакерам, с которыми он регулярно работал, чтобы найти проблемы в программном обеспечении Zoom. По словам бывших инженеров Dropbox, у компании даже были свои инженеры по безопасности, которые проверяли ошибки и искали связанные с ними проблемы, прежде чем передавать их в Zoom.
По словам бывших сотрудников, хакеры сообщили о нескольких десятках проблем с Zoom. К ним относятся способность злоумышленников контролировать действия пользователей в веб-приложении Zoom, и более серьезные недостатки безопасности, такие как возможность запускать вредоносный код на компьютерах с использованием программного обеспечения сервиса.
Dropbox добавил свои собственные элементы управления, чтобы его интеграция с Zoom не представляла опасности для пользователей компании.
Некоторые бывшие сотрудники Dropbox рассказали, что компания также побудила Zoom ввести дополнительные меры безопасности, включая функцию виртуальной комнаты ожидания, которая теперь позволяет организаторам встреч проверять участников перед тем, как дать им возможность провести видеоконференцию.
Сотрудники Dropbox были не единственными, кто видел проблемы. В конце 2018 года Дэвид Уэллс, старший инженер-исследователь в Tenable, компании по оценке уязвимостей, обнаружил серьезный недостаток в Zoom, который позволил бы злоумышленнику удаленно прервать собрание, даже не будучи на связи. Среди прочего, Уэллс сообщил, что злоумышленник может взять на себя управление экраном пользователя Zoom и установить вредоносное ПО на его компьютер.
Эксперт обнаружил, что эта уязвимость позволяла ему публиковать сообщения в чатах Zoom под именами других людей и выводить участников из собраний. Он отметил также, что Zoom быстро исправил выявленные недостатки.