I dessa virustider så jobbar många hemma och behovet av en videokonferens-lösning har ökat. Programmet och tjänsten Zoom har därför ökat i popularitet men det är ett program, en tjänst och företag som du inte kan, eller ska lita på. Zoom har store, uppenbara brister i hanteringen av din personliga information och det är medvetna val, inte missar eller överseenden.
Zoom har avslöjats med att skicka information bland annat till Facebook, för att läcka information och för att lämna felaktig information om hur de skyddar sändningarna.
Nyligen avslöjades att Zoom skickar information till Facebook, oavsett om du har ett Facebook-konto eller inte. Informationen innehåller tillräckliga mängder om vad du gör på nätet tillsammans med en unik identifierare vilket gör et möjligt att skicka riktad reklam till dig. Först när avslöjandet kom och publicerades så backade Zoom och sa att de plockat bort den aktuella funktionen och koden.
Zoom skickar data till Facebook även om du inte har något konto
End-to-end kryptering
Zoom hävdar att deras videosändningar och chat är krypterade från användaren och till mottagaren, end-to-end. I sin information till användarna så uppger Zoom att kommunikationen via tjänsten, video och chat, är krypterade med en just denna form av kryptering och skydd. Det innebär att när information lämna sändaren så är den krypterad tills den når mottagaren. När The Intercept kontaktar Zoom och ber om ett klargörande så svarar Zoom:
“Currently, it is not possible to enable E2E encryption for Zoom video meetings. Zoom video meetings use a combination of TCP and UDP. TCP connections are made using TLS and UDP connections are encrypted with AES using a key negotiated over a TLS connection.”
I klartext – Zoom använder inte “end-to-end” kryptering trots att Zoom påstår det.
Läcker
Zoom har en funktion “Company Directory” där enskilda som använder samma domän, i sin e-post, kopplas samman. Tanken är att enskilda som tillhör samma företag lättare ska kunna nå varandra. Trots det så rapporterar användare att deras epostadress och foto har publicerats för andra, helt okända användare.
But multiple Zoom users say they signed up with personal email addresses, and Zoom pooled them together with thousands of other people as if they all worked for the same company, exposing their personal information to one another.
“I was shocked by this! I subscribed (with an alias, fortunately) and I saw 995 people unknown to me with their names, images and mail addresses.” Barend Gehrels, a Zoom user impacted by the issue and who flagged it to Motherboard, wrote in an email.
macOS
Zoom använder sig också av script, vid installation i macOS, där installationen startar innan användaren har godkänt installationen.
Ever wondered how the @zoom_us macOS installer does it’s job without you ever clicking install? Turns out they (ab)use preinstallation scripts, manually unpack the app using a bundled 7zip and install it to /Applications if the current user is in the admin group (no root needed). pic.twitter.com/qgQ1XdU11M
— Felix (@c1truz_) March 30, 2020
Detta betyder att enbart genom att starta och öppna installationsprogrammet, utan att göra något mer, så startas installationen – utan ditt medgivande. Det finns en mycket enkel regel för hur du installerar mjukvara i andras enheter – du gör inte så här.
Webserver
Zoom har tidigare avslöjats med att installera en webserver i användarens dator utan att informera användaren. Webservern gav utomstående, obehöriga möjlighet att ta över och styra datorns kamera. Tekniken Jonathan Leitschuh upptäckte webservern och analyserade vad den gjorde och hur den kunde kontrolleras.
Allt som behövdes för att ta över kameran i användares dator var att besöka en hemsida, med lite speciell kod.
A vulnerability in the Mac Zoom Client allows any malicious website to enable your camera without your permission. The flaw potentially exposes up to 750,000 companies around the world that use Zoom to conduct day-to-day business.
Lägg också till att webservern inte avinstallerades om du avinstallerade Zoom. Apple ingrep och stoppade och plockade bort webserven via sin centrala funktion inbyggd i macOS. Något Apple gör mycket sällan och bara om användare hotas av skadliga program – vilket Zooms webserver rubricerades som.
Summera
Summera nu ihop alla dessa incidenter och avslöjanden så växer det fram en bild av ett företag, en tjänst, ett program och en app som du inte kan lita på. Zoom säger att de tar användarnas integritet på allvar, att de gör allt de kan för att skydda dina uppgifter. Det finns ingen anledning att tro på på Zoom. det finns däremot en lång rad anledningar, läs ovan, till att tro att Zoom tar enkla genvägar och förbiser uppenbara hot och risker.
Kasta ut Zoom och välj FaceTime eller en annan pålitlig tjänst.
0 kommentarer