Почему я избегаю использования Zoom для онлайн-встреч

Zoom — это компания с девятилетней историей развития, у которой всегда были какие-то неполадки и трудности. Когда я упоминаю, что не использую Zoom, люди обычно говорят: “Ну теперь же они исправили все свои проблемы”. Да, они начали исправлять некоторые проблемы, которые копились у них в течение девяти лет, но только после того, как на них обрушился поток критики, а не по собственной инициативе. Я просто хочу вкратце объяснить, почему я избегаю Zoom, и причина не ограничивается несколькими сбоями. К сожалению, полностью исключить его использование невозможно, поскольку этот инструмент очень распространен, однако существуют способы применять его более осторожно — в конце данной статьи вы найдете несколько советов и альтернатив его использованию.

1. 11 июля 2019 года: “Apple выпустила автоматическое обновление для Mac, чтобы удалить скрытый веб-сервер Zoom”

В июле прошлого года мы узнали, что Zoom устанавливает скрытый веб-сервер на компьютеры Mac. Это означает, что любой веб-сайт может принудительно присоединить пользователя к вызову Zoom с включенной видеокамерой, причем без разрешения пользователя. Уязвимость, против которой не существовало защитных механизмов, была обнаружена Джонатаном Лейтшу и раскрыта в его статье на Medium: “Нулевой день” Zoom: больше 4 миллионов веб-камер и, возможно, RCE (удаленное выполнение кода)? Просто заставьте их посетить ваш сайт!

2. 24 июля 2019 года: “Мнение: отношение Zoom к раскрытию уязвимостей подчеркивает минусы соглашений о неразглашении информации (NDA) об ошибках”

“Отношение Zoom к раскрытию исследователем по кибербезопасности нескольких серьезных неполадок в своем приложении для видеоконференцсвязи, вызывает недоумение. В марте исследователь по кибербезопасности Джонатан Лейтшу связался с Zoom, чтобы уведомить компанию о трех важных неполадках системы безопасности, существующих в ее приложении для компьютеров Mac.”

• ошибка, которая позволяла злоумышленнику запустить хакерскую DoS-атаку (доведение системы до отказа) на компьютере пользователя;
• ошибка, из-за которой на Mac пользователя оставался установленный локальный веб-сервер, даже после удаления приложения Zoom;
• неполадка, вызывающая серьезную тревогу, которая позволяла злоумышленнику удаленно и автоматически включать микрофон и камеру ничего не подозревающего пользователя Mac.

Как сказано в посте Лейтшу, он дал компании стандартные 90 дней на исправление этих неполадок до публикации информации о них.

“В своем первоначальном ответе на публичное раскрытие информации, который представители Zoom разместили в блоге компании, они отказались признавать серьезность последней уязвимости и ‘в конце концов решили не менять функционал приложения’. Хотя (только после получения резкой общественной критики, последовавшей за раскрытием информации) компания согласилась полностью удалить локальный веб-сервер, который делал атаки на компьютеры пользователей возможными.”

Zoom был не сильно заинтересован в решении указанных проблем и старался преуменьшить их серьезность.

3. 20 января 2020 года: “Уязвимость Zoom позволила хакерам прослушивать звонки”

Компания Check Point Research, занимающаяся исследованиями в области кибербезопасности, обнаружила неполадки в системе безопасности платформы Zoom, суть которых в следующем: потенциальный хакер мог без приглашения присоединиться к видеовстрече и подслушать разговор, а также получить доступ к любым файлам или информации, предоставленной во время разговора. Представитель Zoom сообщил, что проблема, выявленная Check Point была устранена в августе 2019 года.

4. 19 марта 2020 года: “Группа правозащитников призывает Zoom опубликовать отчет о прозрачности”

“Публикация отчетов о прозрачности (информация о запросах персональных данных)  - обычная практика для крупных технологических компаний. Например, Google и Microsoft раскрывают количество запросов о предоставлении данных пользователей, которые они получают от правоохранительных органов и правительств, а также сведения о том, раскрыли они эти данные в ответ на запрос или нет.” 

Некоммерческая организация Access Now, миссия которой — защищать и расширять цифровые гражданские права людей по всему миру, опубликовала открытое письмо, в котором попросила Zoom, учитывая его влияние и положение на мировом рынке, сделать то же самое.

“С учетом растущей роли и числа пользователей Zoom ваша компания обязана выпускать регулярный отчет о прозрачности. Согласно информации на вашем сайте, вы “лидер в области современной корпоративной видеосвязи”, а аналитики Bernstein Research сообщили, что в этом году Zoom уже приобрел больше пользователей, чем за весь 2019 год. Эта тенденция, вероятно, сохранится, поскольку все больше людей полагаются на услуги видеоконференцсвязи в своей работе и жизни.”

Zoom пообещал опубликовать свой первый отчет о прозрачности 30 июня, но не сделал этого: компания пропустила дедлайн, который сама же для себя установила. 

Теперь они говорят, что отчет выйдет позднее в этом году, однако не называют дату.

Онлайн-медиа Verge сообщает:

“Похвально, что за последние 90 дней Zoom предпринял меры по обновлению некоторых своих методов обеспечения безопасности и конфиденциальности, однако перенос публикации отчета о прозрачности свидетельствует о том, что отчетность для Zoom не является приоритетом”, — сказал Иседуа Орибхабор, аналитик американской политики в Access Now. 

“Давление со стороны правительства Китая, с которым столкнулся Zoom, по вопросу ограничения учетных записей, подчеркивает важность отчета о прозрачности — без него пользователи не имеют представления о степени вмешательства правительства в их учетные записи или данные, а также о шагах, которые Zoom предпринимает, чтобы не допустить этого.”

5. 25 марта 2020 года: “Zoom может отслеживать участников, которые не уделяют достаточно внимания вашей видеовстрече”

Нам стало известно, что в Zoom существует функция, позволяющая отслеживать внимание участников, присутствующих на видеовстрече. Сама компания Zoom описывает ее следующим образом: “Организаторы видеовстречи могут видеть индикатор на панели участников встречи или вебинара, информирующий о том, что у кого-то из присутствующих десктопное или мобильное приложение Zoom находится не в фокусе более 30 секунд. Приложение Zoom находится “в фокусе” в том случае, если у пользователя открыто и активно окно просмотра видеовстречи.” 

Пользователи могут отключить функцию отслеживания в настройках своей учетной записи, но администратор также может сделать эту настройку обязательной для всех пользователей, нажав на иконку замка.

Утверждается, что такой автоматический количественный анализ позволяет сделать определенные выводы, что на самом деле неправда, поскольку он способен лишь ввести в заблуждение. Как человек, у которого во время видеовстреч, открыты и другие окна (по разным причинам: чтобы рисовать интеллект-карты, искать ссылки или исследования, а также по другим причинам, которые никого не касаются), я знаю, насколько ошибочные данные могут отображать эти индикаторы функции отслеживания. Меня во всей этой ситуации беспокоит то, что люди, обладающие какими-то полномочиями или властью, на основе этих данных могут сделать ложные выводы, от которых пострадают невиновные люди, которые не способны себя защитить (студенты, школьники и другие).

Некоммерческая организация EFF добавляет несколько слов предостережения:

Если пользователь записывает какие-либо вызовы через Zoom, администраторы могут получить доступ к содержимому такой записи, включая файлы видео, аудио, расшифровки разговора и переписку в чате, а также возможность делиться записью, просматривать аналитику и управлять облачным хранилищем.

Вне зависимости от того, происходит онлайн-встреча в настоящий момент или уже закончилась, Zoom позволяет администраторам получить данные об операционной системе, IP-адресе, местоположении и устройстве каждого участника. Информация об устройстве включает его тип (ПК / Mac / Linux / мобильный телефон / и т.д.), марку / модель ваших периферийных аудиовизуальных устройств, таких как камеры, динамики, и имена этих устройств (например, настраиваемое пользователем имя AirPods). Администраторы также имеют возможность присоединиться к любому звонку в любое время через аккаунт компании в Zoom, без согласия или предупреждения участников онлайн-встречи.

6. 26 марта 2020 года: “Приложение Zoom для iOS отправляет данные в Facebook, даже если у вас нет аккаунта в этой социальной сети”

Конечно, Zoom — не единственное приложение, которое так поступает, это стало почти обычной практикой. Однако в политике конфиденциальности Zoom ничего не говорилось по этому поводу (но даже в этом случае об отправке данных вряд ли узнало бы намного больше людей). Zoom пообещал удалить Facebook SDK (комплект средств разработки), чтобы прекратить обмен данными. Но это снова было сделано лишь после того, как Zoom указали на проблему другие люди. Компания опять не попыталась решить проблему по собственной инициативе. Напомните-ка, сколько лет уже функционирует Zoom?

7. 30 марта 2020 года: “ФБР предупреждает о взломе онлайн-комнат для проведения телеконференций и занятий в период пандемии COVID-19”

В период распространения коронавируса и резкого роста популярности видеоконференцсвязи, даже ФБР пришлось выпустить пресс-релиз с предупреждением о хакерских атаках на Zoom:

Поскольку люди продолжают обращаться к онлайн-урокам и встречам все чаще, ФБР рекомендует проявлять должную осмотрительность и осторожность, заботясь о кибербезопасности.

8. 30 марта 2020 года: “Zoom ужесточает политику конфиденциальности, заявляя, что онлайн-встречи пользователей больше не анализируются для рекламы”

“Политика конфиденциальности Zoom позволяла компании собирать информацию об онлайн-встречах пользователей — от видео до расшифровок и заметок, которыми вы поделились в чате. Компанией Zoom разрешалось использовать эту личную информацию для показа таргетированной рекламы на платформе и за ее пределами, либо для иных бизнес-целей.” Теперь они это изменили.

Из той же статьи:

Кроме того, Zoom сообщил некоммерческой организации Consumer Reports, что прекратит ретвитить опубликованные учителями скриншоты видеоконференций, которые включают изображения студентов. (Если вы учитель, не делайте так.)

9. 31 марта 2020 года: “Zoom не использует сквозное шифрование для защиты видеозвонков, несмотря на вводящую в заблуждение рекламу”

Я не понимаю, зачем вообще Zoom заявлял о применении сквозного шифрования, которое очень сложно внедрить на платформе видеоконференцсвязи. Когда компания занимается таким бизнесом девять лет, а ее генеральный директор участвовал в разработке Webex, подобное заявление свидетельствует либо о грубой небрежности, либо о попытке намеренно ввести людей в заблуждение. В любом случае, теперь Zoom уже не делает таких заявлений. Опять же, только после того, как кто-то со стороны указал на их ошибку.

10. 1 апреля 2020 года: “Zoom передает адреса электронной почты и фотографии людей незнакомцам”

Честно говоря, это похоже на типичную ошибку новичка. По мнению Zoom, если email-адреса людей находятся на одном с вами домене, то вы имеете право на получение их личных данных (и наоборот). Они заблокировали такую возможность для наиболее распространенных личных доменов, таких как Hotmail и Gmail, но, очевидно, что существуют еще тысячи других сервисов электронной почты.

Типичный твит:

“Я только что загрузил бесплатную версию Zoom и указал при регистрации свой личный адрес электронной почты. Теперь в папке Company Directory мне видны 1000 имен, email-адресов и даже фотографий людей. Так и должно быть?”

Думаете, что ничего хуже этого уже не может быть? Не спешите с выводами, пока не узнаете способ защиты своих данных, предлагаемый Zoom — отправка сообщения о проблемах и добавление доменов в черный список.

“Zoom ведет черный список доменов и регулярно выявляет новые домены для этого списка”, — сообщил Motherboard представитель Zoom. “Что касается конкретных доменов, которые вы указали в своей заметке, они теперь занесены в черный список.” Представители компании также рассказали о разделе веб-сайта Zoom, где пользователи могут запрашивать удаление других доменов из папки Company Directory.

Таким образом, это больше похоже на отрицание проблемы, чем на способ ее решения. Спасибо за это, Zoom.

11. 4 апреля 2020 года: “Zoom признает, что некоторые звонки по ошибке направлялись через серверы в Китае”

Поскольку Zoom развивался очень быстро, его сотрудники забыли проверить, какие центры обработки данных используются для балансировки нагрузки. Но это же не означает, что Zoom привык совершать ошибки, которые ставят под угрозу частную жизнь людей…

В этой статье также содержится интересная информация о шифровании звонков. Как указывает Citizen Lab:

Но остаются некоторые вопросы. Zoom лишь кратко описывает схему, используемую для шифрования звонков. Исследовательская организация Citizen Lab раскритиковала компанию за “развертывание собственного” шифрования — также известное, как разработка собственной схемы шифрования. Эксперты давно критикуют попытки компаний создать собственное шифрование, поскольку оно не проходит такую же тщательную проверку и экспертную оценку, как стандарты шифрования, проверенные десятилетиями, которые мы все сегодня используем.

Безусловно, Zoom создает впечатление компании, которая всегда на высоте и ведет активную работу по снижению рисков… 😬 Только вот все еще ждем от нее публикации отчета о прозрачности.

12. 6 апреля 2020 года: “Проблемы с безопасностью Zoom и тесные связи с Китаем заставляют нервничать власти США”

“Zoom — это компания, зарегистрированная как американская на бирже NASDAQ, однако само программное обеспечение было разработано тремя компаниями в Китае, под названием Ruanshi Software, только две из которых принадлежат Zoom. Кому принадлежит третья компания, известная как American Cloud Video Software Technology — загадка.

На данный момент Zoom имеет 700 сотрудников в Китае, что нельзя назвать необычным, поскольку это позволяет сэкономить на зарплатах (по сравнению с США), однако такая ситуация делает компанию уязвимой для давления и влияния со стороны правительства Китая. И это, конечно, не устраивает власти США.”

Учитывая напряженные отношения между Китаем и США, эти связи, вероятно, будут играть все более важную роль.

13. 2 сентября 2020 года: “Самый богатый человек Гонконга — Ли Ка-Шинг — владеет пакетом акций Zoom в размере 11 миллиардов долларов, что составляет треть его общего состояния”

После того, как Zoom сообщил о том, что во втором квартале его выручка выросла на 355%, доля Ли увеличилась на 3,2 миллиарда долларов за один день. Сейчас его стоимость оценивается в 32,6 миллиарда долларов. Его венчурная инвестиционная компания Horizon также была одним из первых спонсоров Facebook, Spotify, цифрового помощника Apple Siri и производителя растительного мяса Impossible Foods.

Я добавил этот пункт, поскольку мне всегда интересно проследить движение денежных средств, когда я пытаюсь понять, кто контролирует компании и получает выгоду от их деятельности.

14. Как Zoom решает проблемы?

Помимо того, чтобы проблемы устранялись по мере их поступления, мне важно понять процесс их устранения. Существует немало доказательств того, что представители Zoom пытались преуменьшить значимость некоторых проблем, и каждый раз изображали удивление, когда их ловили на этом.

Вот как генеральный директор Zoom Эрик Юань отвечает на вопрос Washington Post:

WP: Мы видели множество сообщений о хакерских атаках на Zoom — кто-то начинал издеваться над участниками во время онлайн-встречи анонимных алкоголиков, либо снимал штаны во время конференц-звонка. Когда вы создавали Zoom, вы предвидели, что будут возможны такие ситуации?

Эрик Юань: Нет. В этом не было никакого смысла. Может быть это результат внезапного появления всех этих онлайн-занятий. Это тревожный знак. Нам необходимо создать отдельную версию, настроенную специально для онлайн-обучения в школах.

В этом не было никакого смысла? Больше всего меня приводит в замешательство такая неспособность предвидеть возникновение подобных ситуаций на платформах, используемых для общения между людьми. А еще мне не совсем понятно, почему именно школам требуется отдельная версия для предотвращения подобных случаев? Очевидно, большинство людей, работающих в сфере технологий, знают, что подобные неприятные ситуации происходят на всех социальных платформах, где собираются взрослые.

Поддержка Zoom для меня означает одобрение того, что стало известно за последний год, включая профессиональную некомпетентность, обман и постоянные исправления ошибок лишь в ответ на негативную реакцию пользователей, а не по собственной инициативе. Когда ваша компания является глобальным игроком, это означает, что пользователи подвергаются повышенному риску. Полагаю, я ожидал от Zoom большего. К слову, прошло уже почти три месяца с тех пор, как они пообещали опубликовать отчет о прозрачности.

Используйте Zoom с осторожностью

Иногда вам все-таки придется созваниваться с кем-то в Zoom, как и мне. Поэтому, предлагаю вам придерживаться моего краткого списка мер предосторожности:

1. Не загружайте программное обеспечение;
2. Это означает: используйте лишь веб-версию Zoom. Присоединиться к такой онлайн-встрече можно по ссылке “Присоединиться из браузера”;
3. Используйте отдельный браузер для авторизованных сессий. Это в целом разумный подход: просматривать веб-страницы без авторизации в одном браузере, использовать другой, когда вы входите на разные сайты или в сервисы. Лично я использую Brave для авторизаций, как и Chrome, он обычно работает с большинством платформ для проведения онлайн-встреч, включая Zoom.

Если вам необходимо кого-то пригласить, вы можете подтолкнуть другого человека к использованию веб-версии Zoom, отправив ему ссылку “Присоединиться из браузера”. Примечание: вы всегда можете присоединиться к встрече в браузере, даже если такой ссылки нет, но сначала вам придется, вероятно, отклонить открытие программы.

Другие сервисы, которыми я пользуюсь

В основном мне приходится использовать те платформы, которые выбирают мои клиенты, — в настоящее время это, чаще всего, Microsoft Teams. Но когда я могу выбирать сам, я обычно перемещаюсь между следующими платформами:

• Samba Live. Я использую ее для обучения и проведения семинаров. Функционал этого сервиса во многом похож на Zoom, включая комнаты для переговоров и многое другое. Компания находится в Испании.
• Whereby. Я использую эту платформу для быстрых встреч с меньшим количеством участников. Все пользователи получают уникальный URL-адрес комнаты, которую они могут закрыть или открыть по своему желанию. Компания находится в Норвегии.
• Jitsi. Коллекция проектов с открытым исходным кодом, которые позволяют вам разрабатывать и реализовать безопасные решения для видеоконференцсвязи. Существует также сайт meet.jit.si, где любой может провести онлайн-встречу совершенно бесплатно и без создания учетной записи. Это решение отлично подходит для создания переговорных комнат, когда ваша платформа не позволяет легко их настроить. Либо для того, чтобы студенты могли созваниваться и вместе работать над проектами в удобное для них время. Работа над Jitsi (затем SIP Communicator) началась в 2003 году как студенческий проект Эмиля Ивова в Страсбургском университете. Название происходит от болгарского слова “жици” (провода). Jitsi полностью финансируется компанией 8х8.

Если вы хотите получить больше моих советов по теме онлайн-обучения, а также узнать, какие хитрости и инструменты я использую, заходите на мой сайт “Обучение онлайн”.