Zoom, служба видеоконференций, которая взорвалась в вакууме, возникшем в результате вспышки COVID-19, вызвала откровение ряд недостатков конфиденциальности и безопасности в последние дни. Теперь исследователи определили именно такой недостаток функции, предлагаемой на рынке, как способ сделать встречи более безопасными.
В среду компания Zoom сообщила, что исправила уязвимость с помощью функции зала ожидания.
Эта функция позволяет организаторам собрания оставлять потенциальных участников в цифровой очереди в ожидании утверждения. Медицинские работники могли бы использовать его для проведения нескольких встреч в сфере телездравоохранения подряд, а менеджеры по найму могли проводить многократные видеоинтервью, предложила компания в февральском сообщении в блоге.
Поскольку пользователи столкнулись с проблемами «зомбомбирования» — когда участники прерывают и срывают встречи, часто используя оскорбительные образы или расистские оскорбления, — компания указала на функцию зала ожидания как способ защиты от этого типа вторжений.
Но исследователи безопасности, изучавшие клиент настольного компьютера на наличие уязвимостей, обнаружили, что серверы Zoom автоматически отправляют видеоданные в реальном времени пользователям в комнате ожидания собрания, даже если они еще не были одобрены для присоединения лицом, проводящим собрание. Этим пользователям также был отправлен ключ дешифрования собрания — код, необходимый для разблокировки защищенного соединения. Исследователи сказали, что пользователи могут гипотетически извлекать видеопоток в прямом эфире.
«Если бы вы были достаточно технически продвинуты, вы могли бы наблюдать за происходящим, находясь в комнате ожидания», — сказал Билл Марчак, сотрудник Citizen Lab. и постдокторский исследователь в Калифорнийском университете в Беркли, который нашел уязвимость. Однако аудиопоток звонка был недоступен.
Марчак сказал, что он и Джон Скотт-Рейлтон из Citizen Lab уведомили Zoom на прошлой неделе. Они подробно изложили свои выводы в отчете, опубликованном в среду, после того, как они получили электронное письмо от компании, в котором говорилось, что проблема была исправлена.
В среду генеральный директор Zoom Эрик Юань упомянул во время вебинара, посвященного проблемам конфиденциальности, что Zoom исправил проблему с функцией ожидания.
«Мы обновили наш сервер. Уязвимость в зале ожидания уже исправлена », — сказал Юань на вебинаре. «Со стороны сервера мы не отправляли аудио и видео данные клиенту зала ожидания. Однако мы отправили сессионный ключ … Мы не думали, что это безопасно, поэтому мы изменили наш сервер ».
Комментарий Юаня не соответствовал тому, что обнаружили Марчак и Скотт-Рейлтон, написали они. Видеопоток ранее был доступен, хотя с тех пор проблема была исправлена, сказал Марчак.
Zoom не сразу ответил на запрос комментариев относительно этого несоответствия.
