ZOOM – populárna aplikácia a jej „problémy“ s (ne)zabezpečením súkromia o ktorých by ste mali vedieť

Telekonferenčná aplikácia nezvláda ochranu svojich užívateľov tak, ako by mohla. Používate Zoom? Vaše údaje nie sú na 100% zabezpečené. Aké problémy má populárna aplikácia a ako svoju komunikáciu ochrániť naozaj efektívne, sa dočítate v článku.

V čase sociálnej izolácie sa veľa firiem potýka s existenčnou krízou. No niektoré, najmä tie technologické, zažívajú rast, ako ešte nikdy predtým. Medzi ne patrí aj Zoom – telekonferenčná platforma, ktorá svojou jednoduchosťou a spoľahlivosťou priťahuje denne až 200 miliónov užívateľov a teší sa veľkej popularite aj na Slovensku.

Tá raketovo narástla práve v období súčasnej krízy, kedy masy ľudí začali pracovať z domu a „stretávať“ priateľov a rodinu cez obrazovku počítača. S popularitou však prišla aj pozornosť novinárov a expertov, ktorí upozorňujú na nedostatočné zabezpečenie a praktiky zberu osobných údajov. O čo ide?

Krádež prihlasovacích údajov do systému Windows

Prvého apríla bola zverejnená informácia, podľa ktorej mohli útočníci kvôli chybe v aplikácii Zoom získať užívateľské prihlasovacie údaje do Windowsu. „Ide o nepochopiteľnú nezodpovednosť … chyba v aplikácii je triviálna,“ komentoval prípad Matthew Hickey, odborník na kybernetickú bezpečnosť. Útočníci sa vďaka nej vedeli dostať do sieťových aplikácii užívateľa ako Outlook, alebo priamo do úložísk. Zoom zraniteľnosť odstránil ešte v ten deň.

Zdieľanie dát s Facebookom

Novinári z portálu Motherboard odhalili, že iOS (iPhone) verzia aplikácie Zoom poskytovala osobné údaje svojich užívateľov spoločnosti Facebook, a to aj v prípade, že títo neboli na sociálnej sieti registrovaní. O tejto skutočnosti Zoom ani vopred neinformoval vo svojich podmienkach a zásadách o ochrane osobných údajov, kvôli čomu teraz čelí skupinovej žalobe. Spoločnosť problém údajne opravila v update aplikácie 27. marca 2020.

(Ne)šifrovanie komunikácie

Zoom sám seba propaguje ako platformu, ktorá používa štandardné end-to-end šifrovanie. To má zabezpečiť, že sa k zdieľaným dátam nedostane niekto tretí. Podobne to robia mnohé iné služby, napríklad aj WhatsApp. V skutočnosti však Zoom používa iný, menej bezpečný spôsob šifrovania.

Keď nejaká aplikácia používa end-to-end šifrovanie, správu vidí iba odosielateľ a prijímateľ. Šifruje sa vo vašom zariadení a dešifruje u prijímateľa. Nemá k nej prístup ani spoločnosť, ktorá službu zabezpečuje. Podobne ako pošta nečíta správy, ktoré doručuje. ZOOM síce zabezpečuje dáta, ktoré tečú internetom, no prístup k nim si ponecháva, aj keď nemusí.

Prvého apríla sa spoločnosť ospravedlnila za zavádzanie a v blogu uviedla veci na pravú mieru. Na svojich stránkach však naďalej uvádza, že end-to-end šifrovanie využíva…

Zoom naďalej uvádza, že používa end-to-end šifrovanie, aj keď to nie je pravda.

Zber a únik informácií

Zoom zbiera o svojich užívateľoch množstvo dát – okrem tradičných ako meno či e-mailová adresa aj všetky informácie a súbory, ktoré sa cez aplikáciu pošlú. Spoločnosť však dlho nemala vo svojich Zásadách o ochrane osobných údajov špecifikované, o aké dáta má ísť a ako s nimi ďalej narábajú. Na základe vlny kritiky je v najnovších podmienkach z 29. marca 2020 dátová politika spoločnosti rozvedená podrobnejšie. Problém však nie je len v nízkej transparentnosti.

Ešte stále totiž dochádza aj k závažným únikom dát. Portál Motherboard zistil, že po registrácii užívateľov s určitými emailovými adresami ich aplikácia vyhodnotila ako členov jednej organizácie a automaticky ich pridala do spoločných „Firemných kontaktov”. Skupiny neznámych užívateľov sa tak dostali k údajom a fotkám cudzích ľudí, bez ich vedomia či súhlasu – len preto, že mali e-mailovú adresu u rovnakého poskytovateľa. Táto chyba zatiaľ podľa dostupných informácií odstránená nebola.

Ďalší problém s osobnými dátami a ochranou súkromia predstavuje funkcia „sledovanie pozornosti účastníkov“. Hostiteľ hovoru mal byť upozornený, ak niekto z užívateľov minimalizoval okienko so Zoomom na viac než 30 sekúnd. Užívatelia neboli vopred informovaní, že sú takto sledovaní. Dochádzalo teda k nepovolenému zberu a zdieľaniu dát. Spoločnosť Zoom v reakcii na kritiku túto funkciu 1. apríla odstránila.

V neposlednom rade môže aplikácia odhaľovať súkromné správy medzi užívateľmi. V prípade stiahnutia záznamu z chatu je totiž možné, že záznam zahrnie aj osobné správy, ktoré neboli adresované všetkým účastníkom. K odstráneniu tohto závažného narušenia súkromia zatiaľ taktiež nedošlo.

Zoombombing

Počas uplynulých dní sa užívateľom stávalo, že sa do ich hovoru pripojili nepozvaní hostia. V mnohých prípadoch sa začali chovať nemiestne a rušili telekonferenciu púšťaním pornografického či iného nevhodného obsahu. Tento fenomén sa stal taký bežný, že dostal svoje vlastné pomenovanie – Zoombombing. V reakcii naň spoločnosť 20. marca vydala blog s tipmi, ako mu zabrániť.

Nepovolený prístup ku kamere

Ešte minulý rok, predtým než sa zo Zoomu stala najsťahovanejšia aplikácia na Play Store, čelila firma závažnému problému s nepovolenou aktiváciou počítačových kamier. Diera v Mac verzii aplikácie umožňovala akejkoľvek navštívenej webovej stránke zapnúť kameru užívateľa bez jeho dovolenia. Táto zraniteľnosť bola plne odstránená až v júli 2019, hoci o nej bola spoločnosť informovaná už marci.

Tento mesiac bol podobný problém v aplikácii objavený opäť. Zoom problém v priebehu jedného dňa odstránil.

Reakcia Zoom-u a jeho alternatívy

Spoločnosť sa v najnovšom liste svojim užívateľom z 1. apríla 2020 za problémy ospravedlňuje a popisuje, ako ich rieši. Bráni sa tým, že vznikla ako platforma pre veľké firmy, ktoré si IT bezpečnosť zastrešujú sami. Snaží sa však na meniacu a rastúcu bázu užívateľov prispôsobiť najlepšie, ako vie.

Je síce chvályhodné, že spoločnosť na najnovšie podnety reaguje v priebehu hodín. V porovnaní so spomínaným prípadom z leta 2019, ktorého vyriešenie trvalo takmer pol roka, teda určite došlo k posunu. Ani ten však nie je celkom uspokojivý. Navyše, môžeme veriť spoločnosti, ktorá zavádza o ochrane užívateľských dát, ku ktorým si bezdôvodne ponecháva prístup? Aké iné možnosti a aplikácie máme teda k dispozícií?

Jitsi Meet

Atraktivita Jitsi Meet je v tom, že funguje ako browser aplikácia – nie je teda nutné si nič sťahovať, dokonca ani zakladať účet. Vaše osobné údaje sú tak lepšie chránené už len tým, že ich nemusíte poskytovať. Je šifrovaná, umožňuje ochranu hovorov heslom a je úplne zadarmo. Patrí k široko využívanému štandardu ľudí a organizácií, ktoré dávajú súkromie na prvé miesto.

Wire

Jednoduchá, spoľahlivá, zabezpečená a mimoriadne transparentná aplikácia pre firmy je WIRE. Jej služby môžete využívať za €4 mesačne na užívateľa.

Signal

Signal je známy najmä ako mimoriadne bezpečná a transparentná mobilná aplikácia na písanie správ a zdieľanie dokumentov či multimédií. Má však aj desktopovú verziu a umožňuje videohovory naprieč zariadeniami. Jedinou nevýhodou je, že zatiaľ nepodporuje hovory medzi viac ako dvomi účastníkmi. Telekonferenciu teda cez Signal neurobíte. Všetko ostatné áno.

Na súkromí záleží

O tom, ako môžete svoju komunikáciu a súkromie na internete dobre ochrániť a prečo to je vôbec dôležité, sme písali vo výživnom článku, ktorý by ste si v dobe, keď všetci sedíme doma a žijeme online, mali ešte raz prečítať!

Katarína Kondrótová
Absolventka Bezpečnostných štúdií a študentka Medzinárodných vzťahov na Karlovej Univerzite v Prahe | Medzi jej hlavné tematické záujmy patria dopady nových technológií na vedenie konfliktov a rola kultúrnych determinánt v správaní štátov | Vo svojich prácach rada prepája odbor bezpečnostných štúdií s ďalšími sociálnymi vednými disciplínami a skúma, ako sa vzájomne ovplyvňujú.