The New York Times выяснила, что уязвимости сервиса видеоконференций Zoom были давно известны компаниям, которые сотрудничали с платформой. Dropbox ранее заплатила хакерам, чтобы найти ошибки в программном обеспечении компании, а затем надавила на Zoom, чтобы те исправили их.

Год назад два участника конкурса хакеров, организованного Dropbox, смогли взломать Zoom, находясь в самолете и имея только медленное интернет-соединение. Они нашли серьезную уязвимость в программном обеспечении, которая могла позволить злоумышленникам скрытно контролировать компьютеры на MacOS от Apple.

Когда же Dropbox показал итоги работы хакеров с сингапурского мероприятия Zoom Video Communications, Zoom потребовалось более трех месяцев, чтобы исправить найденные уязвимости.

Эрик Юань, исполнительный директор Zoom, впоследствии написал сообщение в блоге с извинениями за задержку: «Мы неправильно оценили ситуацию и не ответили достаточно быстро — и эта ответственность лежит на нас».

После того, как на волне популярности Zoom в работе сервиса начали массово выявлять ошибки, у платформы появились защитники. По их мнению, сервис, изначально не предназначенный для предприятий, не мог предвидеть пандемию. «Я не думаю, что многие из этих вещей были предсказуемы», — говорил Алекс Стамос, бывший директор по безопасности в Facebook, который недавно стал советником по безопасности Zoom.

Бывшие инженеры Dropbox, однако, говорят, что текущие проблемы Zoom можно было увидеть еще два и более года назад. Поэтому, в качестве новой программы оценки безопасности для своих поставщиков и партнеров, Dropbox в 2018 году начал в частном порядке предлагать награды лучшим хакерам, чтобы найти уязвимости в программном коде Zoom и нескольких других компаний.

Сам Dropbox использовал сервис видеоконференций для внутренних собраний, и для него Zoom стал «критически важным средством поддержания связи между командами». Ранее, в 2019 году, Dropbox инвестировал в компанию $5 млн. Кроме того, Брайан Шрайер, директор Dropbox, является партнером в Sequoia Capital, которая вложила в Zoom $100 млн.

Начиная с 2018 года, Dropbox в частном порядке предлагал вознаграждения главным хакерам, с которыми он регулярно работал, чтобы найти проблемы в программном обеспечении Zoom. По словам бывших инженеров Dropbox, у компании даже были свои инженеры по безопасности, которые проверяли ошибки и искали связанные с ними проблемы, прежде чем передавать их в Zoom.

По словам бывших сотрудников, хакеры сообщили о нескольких десятках проблем с Zoom. К ним относятся способность злоумышленников контролировать действия пользователей в веб-приложении Zoom, и более серьезные недостатки безопасности, такие как возможность запускать вредоносный код на компьютерах с использованием программного обеспечения сервиса.

Dropbox добавил свои собственные элементы управления, чтобы его интеграция с Zoom не представляла опасности для пользователей компании.

Некоторые бывшие сотрудники Dropbox рассказали, что компания также побудила Zoom ввести дополнительные меры безопасности, включая функцию виртуальной комнаты ожидания, которая теперь позволяет организаторам встреч проверять участников перед тем, как дать им возможность провести видеоконференцию.

Сотрудники Dropbox были не единственными, кто видел проблемы. В конце 2018 года Дэвид Уэллс, старший инженер-исследователь в Tenable, компании по оценке уязвимостей, обнаружил серьезный недостаток в Zoom, который позволил бы злоумышленнику удаленно прервать собрание, даже не будучи на связи. Среди прочего, Уэллс сообщил, что злоумышленник может взять на себя управление экраном пользователя Zoom и установить вредоносное ПО на его компьютер.

Эксперт обнаружил, что эта уязвимость позволяла ему публиковать сообщения в чатах Zoom под именами других людей и выводить участников из собраний. Он отметил также, что Zoom быстро исправил выявленные недостатки.

Ранее хакеры обнаружили две критические уязвимости в Zoom, которые можно использовать для шпионажа за пользователями Windows и macOS. Они продают доступ к ошибке в Windows за $500 тысяч.

До этого выяснилось, что платформа автоматически добавляет своих пользователей в контакты друг к другу и раскрывает их личные данные. Пользователи получают чужие адреса электронной почты, имена, фамилии и фотографии. Это происходит из-за того, что некоторые e-mail адреса Zoom ошибочно определяет как корпоративные.

Zoom утверждает, что внедряет сквозное шифрование, однако выяснилось, что платформа фактически использует свое собственное определение термина, которое позволяет получать доступ к незашифрованному видео и аудио с видеоконференций. Вместо сквозного шифрования сервис предлагает то, что обычно называют транспортным шифрованием.

В связи с целым рядом опасных уязвимостей ряд крупных IT-компаний уже запретил своим сотрудника пользоваться Zoom на удаленке. Среди них были Google и SpaceX.

См. также:

• «Они среди нас: исследуем уязвимости и вредоносный код в приложении Zoom для Windows»
• «Опасная тенденция «зумбомбинга» набирает обороты»
• «Zoom — банальная халатность или целенаправленный шпионаж?»