«Процесс» уже публиковал хронику приложения для видеоконференций Zoom. Во время карантина оно получило бешеную популярность и мгновенно оказалось в новостях. Посвященных, в основном, тому, что Zoom сливает данные Facebook. Сообщалось, что после установки и первого запуска Zoom связывается с Facebook Graph API, программным интерфейсом, предназначенным для разработчиков, и передает данные о модели устройства, часовом поясе, локации пользователя, операторе связи и уникальном рекламном идентификаторе для таргетированной рекламы. Информация передавалась даже в том случае, когда пользователь Zoom не зарегистрирован в Facebook.
В пятницу, 10 апреля, к запрету Zoom в SpaceX и ограничения в Google добавился запрет Zoom в дистанционном обучении в Сингапуре. Причина та же — нарушение приватности. В конференции вторгаются посторонние люди, которые показывают неприличные изображения или делают неэтичные комментарии в адрес школьниц и студенток.
Генеральный директор Zoom Эрик Юань уже неоднократно обещал усовершенствовать безопасность Zoom и извинялся за проблемы, созданные пользователям. Чтобы разобраться, бояться ли Zoom, мы взяли комментарии у Lead Software Developer LeoGaming Виктора Николаевича.
О сборе данных Facebook
Информация, которую может дать девайс — неперсонифицированная, там нет ни номера телефона, ни личных данных, тем более аналогичную информацию собирает Facebook. Эти данные пользователи сами ему отдают. У остальных приложений есть авторизация через FB, во время которой идет подключение к Facebook и эти же данные тоже собираются. А у Google есть авторизация через Google OAuth и рекламный Adsense, хотя об этом никто не говорит.
О том, возможно ли такое в других приложениях
Каждое приложение, транслирующее рекламу, вынуждено передавать какие-то данные рекламной площадке для таргетируемого отображения.
О конкурентах
Лично моя теория — это борьба между Microsoft Teams и Zoom, хотя в Teams очень много моментов, которые отсутствуют в Zoom. Почему-то никого не удивляет, что за месяц пришли миллионы новых пользователей, а слили видео всего нескольких тысяч пользователей.
Как взламывали видео
Есть подозрение, что Zoom изначально создавался для видеоконференций с 100+ участниками, чтобы могли показывать дашборды и презентации. И по умолчанию еще месяц назад там не было ввода пароля на конференцию. Соответственно, когда делали видеозапись, и она хранилась где-то на хосте, посмотреть видео можно было с брутфорсом идентификатора встречи. То есть злоумышленники создали скрипт, который искал видео по определенным ID.
Неделю назад Zoom обновил политику безопасности и поставил пароли по умолчанию. Но все еще есть случаи, когда к видео подключаются неизвестные люди.