Эксперты советуют выбирать альтернативы Zoom, пока сервис не станет безопасным
Ранее газета The Washington Post сообщала, что несколько тысяч записей частных видеозвонков попали в открытый доступ
МОСКВА, 10 апреля. /ТАСС/. Платформа для видеоконференций Zoom пока слишком уязвима для хакеров, поэтому лучшим вариантом будет использовать проверенные временем альтернативы. Об этом рассказали опрошенные ТАСС специалисты в сфере кибербезопасности.
С массовым выходом людей на самоизоляцию и удаленную работу вырос спрос на программы для видеоконференций. Так, например, в марте 2020 года по сравнению с декабрем прошлого года почти в 20 раз, до 200 млн пользователей, выросла аудитория Zoom. В три раза по сравнению с серединой марта увеличилась общая продолжительность переговоров в Microsoft Teams, в целом количество звонков на платформе выросло в марте в 11 раз, отмечали в компании.
Вместе с тем ранее ряд СМИ сообщали, что тот же Zoom, которым сейчас пользуются все - от школьников до органов власти по всему миру - имеет серьезные проблемы с безопасностью. Так, в начале апреля газета The Washington Post сообщила, что несколько тысяч записей частных видеозвонков, осуществленных через сервис, оказались в открытом доступе в интернете, среди них - рабочие конференции различных компаний, занятия в начальной школе, а также частные разговоры пользователей сервиса.
Портал Vice в свою очередь предупреждал, что хакеры могут похищать e-mail-адреса пользователей Zoom, получать доступ к их фотографиям и контактам, если они пользуются приложением с телефона.
Утечки данных и "zoom-бомбинг"
Эксперты в сфере кибербезопасности подтверждают опасения, высказанные СМИ в отношении Zoom. В частности, перечисляет руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев, это недавние утечки данных в Facebook, похищение паролей пользователей персональных компьютеров под Windows, получение удаленного доступа к устройствам Apple с возможностью установки вредоносных программ.
"Получило также распространение такое явление, как zoom-bombing, когда злоумышленники выявляют уязвимые конференции и проникают в них с целями шпионажа, хулиганства или другими намерениями. В опубликованных ФБР материалах отмечается, что американская разведка неоднократно получала сообщения о подключении к сеансам видеосвязи с целью показа порнографических изображений и возбуждения ненависти", - напомнил Арсентьев.
По мнению эксперта, одной из причин наплыва подобных мошенников можно считать непреднамеренное раскрытие компанией Zoom электронных адресов участников.
"Все дело в функции, которая автоматически добавляла людей в список контактов, если они регистрировались с почты на одном домене", - пояснил он.
Обнаруженные экспертами проблемы могут свидетельствовать о том, что до этих пор безопасности приложения не уделялось достаточно внимания, отмечает со своей стороны антивирусный эксперт "Лаборатории Касперского" Борис Ларин.
"К слову, у Zoom нет программы bug bounty, которая ранее могла бы стимулировать интерес к поиску уязвимостей и ответственному раскрытию информации о них. Серьезная проблема для безопасности кроется в том, как происходит подключение к конференциям. Если конференция не защищена паролем, то к ней могут подключиться сторонние люди, так как для этого нужно знать только ID, который легко подобрать", - сказал он.
Пользоваться Zoom можно, но пока лучше повременить
Разработчики Zoom в ответ на раскрытые факты утечек и "zoom-бомбинг" недавно заявили, что на три месяца сконцентрируются на безопасности и будут заниматься исключительно "залатыванием дыр". В частности, было выпущено обновление, которое, как утверждается, устраняет часть проблем с безопасностью.
Вместе с тем в Group-IB пока что советуют перейти на аналоги Zoom - платформы Google Meet, GoToMeeting, WebEx от Cisco, или, если нужна только аудиосвязь, можно использовать Signal. За использование Signal вместо привычных мессенджеров высказывался ранее в том числе Эдвард Сноуден, говоря о проблемах безопасности WhatsApp или Telegram.
Кроме того, продолжает со своей стороны консультант Центра информационной безопасности компании "Инфосистемы Джет" Глеб Карманов, в качестве альтернативы можно также использовать BlueJeans и Microsoft Teams.
"Также сервис видеоконференцсвязи из "облака" предоставляют российские вендоры, например TrueConf и VideoMost. Решения всех перечисленных компаний можно попробовать бесплатно, воспользовавшись триальной версией, а затем оформить подписку. Еще один бесплатный вариант - open source платформа Jitsi", - перечислил он.
Однако если все же необходимо использовать именно Zoom, следует выполнить несколько важных вещей, советуют эксперты. Например, использовать уникальный ID для конференций и задавать пароль для каждого звонка, ограничить количество подключений к конференции точным числом участников, убедиться, что транслировать экран может только организатор видеоконференции. Кроме того, нужно отключать возможность передачи файлов, установить автоматическое отключение голосовой связи вновь присоединяющихся участников после начала видеоконференции и ставить в режим ожидания или отключить видеотрансляцию у подозрительного участника.