Cadrele didactice și-au mutat activitatea în mediul online și comunică cu elevii prin intermediul unor aplicații. Pe lângă mesaje pe grupuri de socialzare, elevii și profesorii folosesc anumite aplicații prin care pot intra în direct, în sistem de videoconferință. Un dinstre ele este aplicația Zoom. Aceasta nu este, însă, recomandată, din cauza unor probleme majore de securitate. Inspectoratul Școlar Județean Bistrița-Năsăud a transmis un mesaj directorilor de școli prin care îi avertizează asupra acestei aplicații și le cere cadrelor didactice să înceteze să o utilizeze.
Iată ce vulrnerabilități are aplicația Zoom.
Zoom nu îți urmărește doar atenția, te urmărește pe tine
Conform politicilor de confidențialitate, Zoom colectează informații despre utilizatori, informații personale precum nume, adresă, adresă de mail, număr de telefon, titulatura job-ului, angajatorul. Chiar dacă nu îți creezi un cont Zoom și te conectezi cu un alt serviciu, aplicația tot va colecta informații precum tipul de dispozitiv utilizat și adresa IP.
Specialiști în securitate au identificat, recent, faptul că Zoom a distribuit într-o modalitate incorectă informații către Facebook. Concret, aplicația Zoom de pe iOS utiliza un kit de dezvoltare (SDK) folosit pentru autentificare prin intermediul contului de Facebook, care s-a dovedit că raporta informații către rețeaua socială, chiar dacă utilizatorul nu se autentifica prin contul de Facebook. Între timp, acest SDK a fost exclus din aplicație, dar utilizatorii care nu au actualizările la zi încă mai pot fi afectați.
Zoom nu utilizează criptarea end-to-end
Zoom are propria metodă de criptare end-to-end encryption (E2EE), care induce în eroare utilizatorii, deoarece metoda de criptare utilizată este TLS (transport layer security), aceeași metodă întâlnită la protecția conexiunilor HTTPS.
TLS protejează conexiunile împotriva interceptării de către persoane neautorizate, dar nu și împotriva serverelor Zoom. E2EE ar trebui să permită decriptarea informației doar în momentul în care ajunge la destinatar, dar în cazul de față este permisă și decriptarea de către serverul Zoom.
Bug Zoom care permite acces neautorizat la camera web
Anul trecut, un consultant în domeniul securității cibernetice a descoperit că Zoom a creat un server web local pe dispozitivul Mac al unui utilizator, care a permis Zoom să ocolească funcțiile de securitate în browserul de internet Safari 12. Acest server web nu a fost menționat în nicio documentație oficială a Zoom și a fost folosit pentru a ocoli activarea unei ferestre de tip pop-up, pe care Safari 12 o afișa înainte de a porni camera dispozitivului.
Din nefericire, acest server web de la distanță nu a fost securizat în mod adecvat. Aproape orice site web ar fi putut interacționa cu acesta. Rezultatul acestei acțiuni a fost că Zoom, practic, a permis site-urilor web malițioase să preia camera dispozitivului dvs. Mac, fără emiterea unei avertizări în acest sens.
Zoombombing
Zoom permite în mod prestabilit ca toți utilizatorii să poată utiliza funcția de share screen. În cazul în care gazda nu dezactivează această funcție, persoanele rău intenționate pot perturba video-conferința prin distribuirea de materiale cu conținut stânjenitor. Zoombombing poate apărea, în general, atunci când link-ul de acces al video-conferinței este făcut public. Au existat deja cazuri în SUA, în care cursuri din mediul educațional au fost perturbate sau deturnate de către atacatori.
