Videokonfereční aplikace Zoom je plná děr. Varuje před ní FBI i český NÚKIB

Podcasty, rozhovory, příběhy Další podcasty, rozhovory a příběhy výsměšný smajlík - internetové zlo

Ještě na konci minulého roku používalo videokonferenční aplikaci Zoom 10 milionů uživatelů denně. V březnu číslo vzrostlo na 200 milionů denně. Za tento explozivní nárůst může pochopitelně především pandemie koronaviru, která spoustu lidí uvěznila v jejich domovech. Ať už kvůli práci, nebo kontaktu s blízkými se miliony lidí uchylují k videokonferenčnímu softwaru a Zoom nabízí jednodušší službu než veškerá konkurence. Tato jednoduchost má ale svoji temnou stránku.

Největší mediální pozornosti se zatím dostalo takzvanému „Zoom bombingu“. Pro připojení se k zoomovému hovoru vám stačí krátký číselný kód. Ten můžete snadno sdílet s kýmkoliv, koho chcete nechat k sobě připojit. Tato jednoduchost je ale zároveň velkou slabinou, protože kód se jednak může dostat do rukou někoho jiného, jednak může kdokoliv za pomoci jednoduchého softwaru (nebo trochu náročněji i bez něj) prostě vytipovat čísla ve správném formátu a narušovat tak cizí hovory. 

Obětí takového bombingu se už staly porady korporací, online schůzky městských rad, virtuální nedělní škola texaského kostela i internetové sezení anonymních alkoholiků, případně školní hodiny probíhající kvůli karanténě přes Zoom. Nejčastěji se pochopitelně jednalo o vcelku očekávatelné narušení nevybíravým internetovým humorem v podobě porna nebo rasismu. Některé firmy, jako například SpaceX Elona Muska, kvůli nedostatkům zabezpečení už používání Zoomu pro pracovní porady zakázaly. 

Problémem Zoomu není jen bombing, který je sice nepříjemný, ale v důsledku poměrně neškodný. Podle zjištění webu The Intercept je výraznější slabinou Zoomu velmi nedostatečná enkrypce. Její použití možná nasvědčuje tomu, že by se k obsahu hovoru neměl dostat nikdo kromě volajících, ve skutečnosti má k hovorům přístup právě firma Zoom. To jednak otevírá bezpečnostní otázky ohledně nepropustnosti tohoto zabezpečení a zároveň důvěryhodnosti firmy. Nejde totiž jen o samotné potenciální bezpečnostní díry, ale také o to, že Zoom klamavým sdělením vyvolává ve svých uživatelích falešný pocit bezpečí. Chcete svěřit svoje soukromí do rukou firmy, která má ke svým uživatelům takový přístup?

Tím ale vše rozhodně nekončí. Server Motherboard uvádí, že Zoom sdílí informace o svých uživatelích s Facebookem. A to i v případě, kdy sami uživatelé Zoomu nemají facebookový účet. Podmínky pro používání služby nic takového nezmiňují. Vývojář Felix Seele si zase všiml, že instalační balíček Zoomu pro iOS program z velké části nainstaluje ještě předtím, než ho ve skutečnosti spustíte. Seele uvádí, že k podobným postupům se uchylují malwarové programy. 

Zoom pak během několika dní po Seelově zjištění svůj instalační soubor změnil. V reakci na kritiku služba stejně tak dále upravuje svoje bezpečnostní postupy a podmínky užívání. Předtím než tak Zoom učinil, stihla před jeho používáním varovat jak americká FBI, tak český Národní úřad pro kybernetickou a informační bezpečnost. I přes dílčí nápravu tu i vzhledem k velkému počtu přešlapů Zoomu zůstává otázka, jak moc firmě záleží na bezpečnosti a soukromí vlastních uživatelů. Ostatně v Silicon Valley není v tomto ohledu laťka nastavena příliš vysoko.

Komentáře v rubrice Ucho vyjadřují názory autora.

Jste jedním z milionů nových uživatelů Zoomu? Stali jste se už obětí takzvaného Zoom bombingu? Poslechněte si glosu Matěje Schneidera.