Zoom je jedna z mnoha aplikací, která v současné době sociálního odloučení pomáhá lidem zůstat v kontaktu. V březnu její tvůrci vstoupili do boje proti koronaviru, když nabídli zdarma základním školám (i v Česku) používat rozšířenou verzi aplikace. Respektive školám umožňují překročit 40minutový limit pro komunikaci.
Nejen tento krok vedl k tomu, že v polovině března program zaznamenal dvoutřetinový denní nárůst uživatelů. Školy a další uživatelé se možná nyní budou muset poohlédnout po jiném programu. Na provozovatele je totiž podle agentury Bloomberg podána žaloba a celkově se zdá, že si příliš neláme hlavu se soukromím.
Důvodem podané hromadné žaloby je to, že služba bez vědomí a souhlasu uživatele sdílela data s Facebookem. Tuto praktiku popsali na serveru Motherboard, firma následně tu část kódu, která se takto „provinila“, stáhla.
I tak bude muset nahradit škodu, pokud soudní spor prohraje. Konkrétní problém byl v tom, že když uživatel spustil aplikaci na operačním systému iOS, ta dala vědět Facebooku, že se tak stalo. Zároveň poslala informace o zařízení a částečné poloze uživatele a také unikátní indentifikátor, který využívají firmy ke sledování chování uživatele, aby mohly lépe cílit reklamu. Uživatel přitom ani nemusel mít facebookový účet.
Žaloba byla podána v Kalifornii. Problém není v tom, že se tato data odesílají, podobně se chovají tisíce dalších programů a aplikací, které využívají přihlášení přes Facebook, ale v tom, že na to firma neupozorňuje, aby se mohl případně potenciální uživatel rozhodnout aplikaci neinstalovat.
Na zabezpečení aplikace a také na ochranu dat dětí se zároveň tento týden dotázal nejvyšší žalobce New Yorku.
Slibované šifrování chybí
A není to jediný problém. Firma například lživě uváděla, že je komunikace šifrována systémem end to end, tedy od jedno koncového uživatele k druhému. To však není pravda, jak zveřejnili novináři ze serveru Intercept. Firemní pojetí tohoto šifrování pak následně Interceptu vysvětloval mluvčí společnosti takto: „V současné době není možné pro videokonference služby Zoom využít šifrování E2E. Videoschůzky se Zoomem používají kombinaci TCP a UDP. Připojení TCP jsou vytvořena pomocí TLS a připojení UDP jsou šifrována pomocí AES klíče získaného přes připojení TLS.“
To opravdu není end to end šifrování, ale zjednodušeně řečeno systém, který sice vytvoří šifrovaný přenos, ale zároveň umožňuje serverům Zoomu mít přístup k nezašifrovanému videu či zvuku. I když firma popírá, že by toho nějak zneužívala, předchozí zmíněný případ se sdílením dat s Facebookem a níže popisované problémy v další části textu toto prohlášení mírně znehodnocují.
Stránky aplikace Zoom slibují end to end šifrování.
Je třeba podotknout, že zavést u videokonference end to end šifrování je poměrně náročné, na druhou stranu firma na svých stránkách o tomto vědomě nemluví pravdu. Nelze brát ani případnou výmluvu, že je tento způsob šifrování u Zoomu aplikován na textový chat. To sice je pravda, ale na webu to společnost nemá specifikováno, a může tak získat nekalou konkurenční výhodu.
Zoombombnig
Jedním z dalších problémů, s nimiž se společnost snaží vypořádat, je tzv. zoombombing. K němu dochází v případě, že uživatel založí otevřenou nebo nechráněnou schůzku a „nabourá“ se do ní někdo, kdo tam začne vysílat explicitní nebo jiný problematický materiál. Zpravidla k tomu docházelo, když uživatel nechal Zoom v základním nastavení nebo jej nastavil špatně.
Zoom comes pre-stocked with numerous security features designed to control online classrooms, prevent disruption, and help educators effectively teach remotely. Here are some best practices for securing your virtual classroom using Zoom [Blog Post] https://t.co/2HAHETWO75
Věc již došla tak daleko, že před zoombombingem varovala americká FBI a doporučila uživatelům nevytvářet veřejné schůzky či třídy a nastavit si heslo nebo využívat Čekárnu. To je prostor, kde se shromažďují uživatelé, než jim zakladatel umožní vstoupit do společného chatu.
Ukázka práce s Čekárnou v aplikaci Zoom
Firma již v lednu změnila Zoom tak, aby v základním nastavení nabízel možnost hesla a zamezil možnosti náhodného hledání schůzek. V noci na středu pak v základním nastavení zapnula i Čekárnu.
Problémy se soukromím však bohužel nejsou pro Zoom novinkou. Minulý rok v létě byla například společnost Apple nucena zakročit proti tomuto programu, který si potají instaloval na zařízení uživatele webový server. Ten umožňoval jakémukoliv webu pokusit se připojit uživatele k hovoru s aktivovanou videokamerou bez jeho svolení.
Je nyní na uživatelích, zda zůstanou Zoomu věrni, nebo se obrátí na některý konkurenční program. Ti, kdo zůstanou, by se měli více věnovat nastavení programu, aby se vyhnuli případným bezpečnostním problémům.
