- Что такое zoom и как он работает
- Что значит эта ошибка?
- Что делать?
- Error (ошибка) 100000502
- Error (ошибка) 105035
- Error (ошибка) 1054
- Error (ошибка) 1132: невозможно войти
- Error (ошибка) 3113: невозможно запланировать конференцию
- Unc-уязвимость в windows-клиенте
- Zero-day-уязвимость за 0 тысяч
- В nasa и google тоже против zoom
- Вопросы к шифрованию
- Две уязвимости в macos-клиенте
- Еще одна проблема шифрования в zoom связана с его практической реализацией:
- Зумбомбинг
- Зумовская «клубничка» и илон маск
- Как vpn может обеспечить безопасность при работе с zoom?
- Какой vpn лучше всего использовать для работы в zoom?
- Коды ошибок и сообщения
- Недействителен для администратора
- Недействителен для пользователя
- Они обещали исправиться…
- Остерегайтесь фишинга
- Ответы на неавторизованные xmpp-запросы
- Ошибка "сертификат безопасности сайта не является доверенным". как ее исправить?
- Правила, которые помогут защитить ваши онлайн-конференции.
- Реакция компаний и zoom
- Рекомендации
- Своевременно обновляйте ваше приложение!
- Сомнительные алгоритмы шифрования
- Так стоит ли вообще использовать zoom при удаленной работе?
- Хит-парад багов zoom
- Attendee attention tracking: я слежу за тобой
Что такое zoom и как он работает
Основное назначение Zoom — проведение видеоконференций, причём приложение обеспечивает поддержку видеопотока в HD качестве и одновременное подключение к беседе до ста участников. Также пользователи любят эту программу за возможность совместного использования экрана и создания чатов, где можно не только прикреплять различные вложения, но и работать с такими популярными облачными сервисами, как Google Disc и Dropbox.
Но, несмотря на хороший функционал, у «Зума» большие проблемы в обеспечении конфиденциальности пользователей. Так, приложение не поддерживает сквозное шифрование данных и имеет другие серьёзные бреши в системе безопасности, которые возникали как раз по причине добавления некоторых функций.
Что значит эта ошибка?
Ответ прост: недействительность идентификатора. Идентификатор является одной из частей ссылки для персональной конференции. Он необходим, чтобы зайти туда смогли конкретные пользователи. Причины е:
- Пользователь, не являющийся организатором персональной конференции, неверно ввел идентификатор.
- Организатор ошибся в цифрах кода, прислав его пользователю по электронной почте. Такое бывает редко, ведь большинство людей, работающих за компьютером, умеет копировать и вставлять тексты. Но некоторые организаторы могут лишь скопировать ссылку (ведь в приложении есть функция «копировать в буфер»), а вставить получается только вручную.
- Организатор зашел в конференцию по неактуальной ссылке.
Что делать?
Иногда такая проблема происходит со всеми участниками конференции: у организатора (администратора) и у других пользователей. Бывает, что ошибка возникает у конкретных участников. В первом случае необходимо действовать прежде всего организатору, во втором – другому пользователю (может понадобиться помощь организатора). Рассмотрим сначала случай с недействительностью кода для участника, не являющегося администратором конференции.
Error (ошибка) 100000502
Новый вид ошибки подключения, который появился у пользователей впервые в августе 2020 года. Неожиданная ошибка возникает в ходе конференции, при попытке создать или запланировать конференцию, не давая пользователям попасть в ZOOM. Вот что писали в официальном аккаунте Твиттера на этот счет сами разработчики:
«Спасибо за ожидание! Сейчас мы внедряем исправление этой ошибки. Сервис должен быть восстановлен для большинства пользователей, и мы продолжаем завершать внедрение для остальных участников конференции, которые также пострадали и все еще не имеют доступ к ЗУМу. Мы сожалеем о том, что произошел сбой.»
Как выяснилось, это массовая ошибка. Доступ периодически появляется, но сразу же отваливается. Клиентские программы ЗУМа также не работают.
Решение ошибки 100000502: в данном случае остается только ждать исправления ошибок, которые возникают на стороне сервера.
Error (ошибка) 105035
Ошибка возникает при попытке предоставить общий доступ к монитору после начала конференции. Официальная поддержка предлагает следующие решения:
1) Обновитесь до последней версии.
2) Проверьте, не подписываются ли следующие файлы:
- CptControl.exe
- CptHost.exe
- CptInstall.exe
- CptService.exe
- CptShare.dll
- zzhost.dll
- zzplugin.dll
- aomhost64.exe
Начиная с версии v4.4.56616.1028 575, переименованы имена файлов:
- CptHost.exe -> zcscpthost.exe
- airhost.exe -> zcsairhost.exe
- CptService.exe -> zCSCptService.exe
Error (ошибка) 1054
Данная ошибка может быть вызвана, согласно Reddit, истекшим сроком действия вашего пароля.
Решение: войти на официальный сайт и сбросить пароль. Напишите в комментариях, если сброс пароля не помог, и мы найдем другое решение (это единственное на данный момент).
Если вы столкнулись с кодами ошибок, которые не описаны в данной статье, — просьба подробно описать проблему в комментариях, приложив ссылку на скриншот.
Примеры других кодов ошибок:
Error (ошибка) 1132: невозможно войти
1) Проверьте свой брандмауэр в Windows. Убедитесь, что вы разрешили «Зуму» использование вашего сетевого профиля.
2) Создайте совершенно нового пользователя Windows и используйте Zoom оттуда. Не рекомендуется входить в учетную запись, которая у вас была на старой учетной записи Windows — вероятнее всего, её забанили.
Error (ошибка) 3113: невозможно запланировать конференцию
Проблема исправлена в последней версии программного обеспечения. Вам следует обновить приложение Zoom до последней версии.
Unc-уязвимость в windows-клиенте
Обнаруженная в клиенте Zoom для Windows уязвимость могла привести к утечке учетных данных пользователей через UNC-ссылки. При использовании Zoom участники конференции могут отправлять друг другу текстовые сообщения через интерфейс чата.
Zero-day-уязвимость за $500 тысяч
В середине апреля с. г. были обнаружены zero-day-уязвимости в клиентах Zoom для Windows и macOS. RCE-уязвимость Windows-клиента практически сразу же была выставлена на продажу неизвестными за 500 тыс. долларов США. По заявлению продавцов, она позволяет удаленно выполнить произвольный код на Windows-компьютере с установленным клиентом Zoom. Для эксплуатации этой ошибки атакующий должен был позвонить жертве, либо участвовать с ней в одной конференции.
Уязвимость в macOS-клиенте не давала таких возможностей, поэтому ее использование в реальных атаках маловероятно.
В nasa и google тоже против zoom
Представитель NASA Стефани Ширхольц в тот же день заявила, что руководство космического агентства США также запрещает своим сотрудникам использовать Zoom, а 30 марта предупреждение об использовании Zoom опубликовало бостонское отделение ФБР: служащим организации запрещалось делать встречи на сайте публичными и делиться любыми ссылками.
Из последних нерадостных для «Зума» новостей: от десктопного приложения Zoom отказались в Google. Reuters сообщает, что в Google с 8 апреля запретили использовать приложение на ноутбуках своих сотрудников, ссылаясь на проблемы безопасности Zoom. Представитель компании, управляющей крупнейшей поисковой системой в мире, Хосе Кастанеда заявил:
«Недавно наша служба безопасности сообщила сотрудникам, использующим Zoom Desktop Client, что эта программа больше не будет поддерживаться на корпоративных компьютерах, поскольку не соответствует нашим стандартам безопасности для приложений, используемых сотрудниками компании. Однако Google по-прежнему разрешает использование Zoom через мобильные приложения и браузеры».
Вопросы к шифрованию
На сайте Zoom декларируется, что все видеозвонки защищены end-2-end-шифрованием, однако исследователи выяснили, что в действительности все не так красиво: сервис действительно использует шифрование, но сеансовый ключ клиентская программа запрашивает у одного из серверов “системы управления ключами”, входящими в состав облачной инфраструктуры Zoom.
Две уязвимости в macos-клиенте
Бывший сотрудник АНБ Патрик Уордл обнаружил в Zoom-клиенте для macOS две уязвимости, позволявшие злоумышленнику захватить контроль над устройством.
Первая уязвимость была связана с тем, что инсталлятор Zoom применял технику теневой установки, которую часто используют вредоносные программы, чтобы установиться без взаимодействия с пользователем. Локальный непривилегированный злоумышленник мог внедрить в инсталлятор Zoom вредоносный код и получить привилегии root.
Вторая уязвимость позволяла атакующему внедрить вредоносный код в установленный Zoom-клиент и получить доступ к камере и микрофону, которые уже предоставлены приложению. При этом не будет отображаться никаких дополнительных запросов или уведомлений.
Еще одна проблема шифрования в zoom связана с его практической реализацией:
хотя в документации указано, что используются 256-битные ключи AES, их фактическая длина составляет лишь 128 бит;
алгоритм AES работает в режиме ECB — худшем из возможных режимов работы AES, проблема которого в том, что зашифрованные данные частично сохраняют структуру оригинальных данных.
Результат шифрования изображения с использованием режима ECB и других режимов AES / Фото Wikipedia
Зумбомбинг
Вызванный пандемией взрывной рост количества пользователей сервиса в сочетании с не слишком строгими настройками безопасности конференций по умолчанию создал благоприятные условия для разного рода пранков и троллинга. Появились целые сообщества зум-троллей, которые врываются на онлайн-уроки и упражняются там в своеобразном “остроумии”, включая трансляцию своего экрана с игрой или порнороликом, разрисовывая документ на экране непристойными изображениями или громко матерясь.
Но проблема значительно шире, чем просто срыв онлайн-уроков. Журналисты The New York Times нашли множество закрытых чатов и веток на форумах Reddit и 4Chan, участники которыхорганизуют массовые кампании по срыву публичных мероприятий, онлайн-встреч обществ анонимных алкоголиков и других Zoom-встреч.
Зумовская «клубничка» и илон маск
На днях американское
Как vpn может обеспечить безопасность при работе с zoom?
Здесь все очень просто: VPN-сервисы перенаправляют весь Ваш интернет-трафик, в том числе потоковое видео с Zoom, через свои собственные защищенные серверы. Таким образом, помимо того, что Вы сохраняете анонимность и можете изменять свой IP-адрес в любой точке мира, VPN-сервисы также полностью шифруют все данные, поступающие от Вашего компьютера.
Безопасные алгоритмы шифрования современных виртуальных серверов играют решающую роль. Именно из-за их протоколов и механизмов безопасности киберпреступник или хакер, даже будучи получив к персональным данным и паролям пользователей Zoom, не смогут их разобрать и тем более использовать в своих целях.
Как уже говорилось выше, именно из-за отсутствия механизма сквозного шифрования Zoom в настоящее время подвергается наибольшей критике. Во всех современных VPN такая проблема уже давно решена.
Какой vpn лучше всего использовать для работы в zoom?
Основными критериями, по которым можно выявить самый эффективный VPN для Zoom, являются безопасность, скорость и простота использования. Выбирая VPN с высокой скоростью соединения, Вы гарантируете, что во время звонков будет минимум задержек видео и аудио.
На сегодняшний день ExpressVPN возглавляет список наиболее популярных VPN, используемых для работы со средствами видеоконференций. Данный виртуальный сервис максимально близок к соблюдению всех перечисленных выше критериев — он использует самые мощные и надежные протоколы безопасности и удобную политику отсутствия регистрации.
При этом ExpressVPN также показывает отличные результаты в тестах скорости соединения, даже для удаленных серверов. Кроме того, он имеет отличную круглосуточную техническую поддержку пользователей, которая готова прийти на помощь 24 часа в сутки 7 дней в неделю.
Коды ошибок и сообщения
Код ошибки или сообщение | Вопрос | Предлагаемое устранение неполадок |
| Возникли проблемы с сетевым подключением к серверам Zoom. |
|
Error (Ошибка) 2008. На конференции произошла непредвиденная ошибка. | Примененная лицензия больше не действительна для учетной записи, либо не распространяется на пользователя. | Посетите личный кабинет как владелец учетной записи или администратор и назначьте соответствующую лицензию вебинара для пользователя. |
XmppDll.dll отсутствует на вашем компьютере | Если вы получаете сообщение об ошибке, что файл XmppDll.dll отсутствует на вашем ПК, пожалуйста, установите Zoom вручную. Если это не помогает, создайте заявку в службу поддержки. | |
| Обновите или переустановите пакет обновления Microsoft Visual C 2008 SP1. | |
В приводе нет диска. Пожалуйста, вставьте диск в привод | Приложение Zoom ищет путь к файлу на вашем компьютере с Windows, который не существует. Обычно это происходит, когда вы присоединяетесь или покидаете собрание. | Удалите Zoom и установите последнюю версию Zoom. |
Error (Ошибка) 0 (во время установки) |
| |
Error (Ошибка) 3000 (во время установки) | Zoom Installer не удалось перезаписать существующий файл из-за запущенного процесса. | Удалите Zoom и установите последнюю версию Zoom |
Error (Ошибка) 10002 (во время установки) |
| |
Error (Ошибка) 10006 (во время установки) |
| |
Error (Ошибка) 13003 (во время установки) |
|
Недействителен для администратора
Вы заранее запланировали конференцию, собрались в нее войти, и неожиданно у вас показывает «неверный идентификатор конференции Zoom»? Не волнуйтесь: решить эту проблему просто. Ваша задача – перезапустить конференцию с использованием своего идентификатора. Это возможно сделать как на мобильном, так и на декстопном устройстве.
Открыть приложение. Если вы используете телефон, планшет и пр., дайте согласие на использование идентификатора при входе в персональную конференцию. Сделать это надо при помощи передвижения ползунка (белого круга) вправо. После этого начните конференцию, нажав на соответствующую кнопку.
Если для работы в Zoom вы пользуетесь компьютером или ноутбуком, кликните на галочку (см. изображение), чтобы открыть дополнительные настройки. Здесь тоже надо согласиться на использование своего идентификатора. Затем выполнить вход, нажав на кнопку «Новая конференция».
Как уже упоминалось, организатор может ошибиться в цифрах кода, особенно если не умеет вставлять текст. В этом случае целесообразно этому научиться, тем более что это очень легко: нажмите на правую кнопку мыши, кликните левой «вставить».
Другая вышеупомянутая проблема – вход по неактуальной ссылке. В этом случае следует создать новую конференцию. Кстати, этот способ – самый простой для решения всех проблем. Его предпочитают и организаторы, и другие участники персональных конференций Zoom.
Недействителен для пользователя
Недопустимый идентификатор конференции «Зум» – проблема, встречающаяся чаще всего у «рядовых» участников. У организатора она возникает реже. Проблема вполне решаема, но решений много. Рассмотрим.
Если вы «рядовой» участник, попробуйте ввести данные снова. Возможно, вы просто ошиблись в цифрах.
Иногда идентификатор изменяется организатором. Решение очевидно – обратиться к нему за новым кодом.
Автоматическая рассылка иногда дает сбои, и эта проблема возникает у всех участников. В этом случае также следует обратиться к организатору.
Если вы используете мобильное приложение, вы увидите действительный идентификатор вверху экрана:
Пользуетесь компьютером, ноутбуком? Нажмите на значок в верхнем левом углу, чтобы получить код.
Если все это не помогает, проблема может быть из-за сбоя в работе сервера. Надо перезагрузить программу или устройство. Можно также обратиться к администратору конференции: создание новой конференции иногда помогает решить проблему. Еще один вариант – написать в службу технической поддержки, подробно объяснив проблему и способы ее решения.
Они обещали исправиться…
В Zoom Video Communications заявляют о том, что проблемы с утечкой данных возникли потому, что серверы приложения оказались не готовы к такому наплыву пользователей за последний месяц. А генеральный директор компании Эрик Юань даже подробно рассказал об этом в своём блоге и добавил, что им предстоит проделать огромную работу, чтобы вернуть доверие людей (
Что ж, пожелаем ребятам удачи!
Остерегайтесь фишинга
Еще одна угроза безопасности для пользователей Zoom – фишинг. Злоумышленники с помощью сомнительных ссылок приводят людей на вредоносный сайт для загрузки вредоносного ПО или похищения личных данных. Будьте всегда осторожны, нажимая на любые ссылки и приглашения на встречи, о которых Вы не знаете.
Ответы на неавторизованные xmpp-запросы
В конце апреля в Zoom обнаружилась еще одна неприятная уязвимость. С помощью специально сформированного XMPP-запроса любой желающий мог получить список всех пользователей сервиса, относящихся к любому домену.
Обратите внимание Полезные функции Zoom о которых вы могли не знать: субтитры, зал ожиданий и виртуальный фон
Ошибка "сертификат безопасности сайта не является доверенным". как ее исправить?
Доброго дня!
Я думаю, что почти каждый пользователь (особенно в последнее время) сталкивался с ошибкой в браузере о том, что сертификат такого-то сайта не является доверенным, и рекомендацией не посещать его.
С одной стороны это хорошо (все-таки и браузер, и вообще популяризация подобных сертификатов – обеспечивает нашу безопасность), но с другой — подобная ошибка иногда всплывает даже на очень известных сайтах (на том же Google). 👋
Суть происходящего, и что это значит?
Дело в том, что когда вы подключаетесь к сайту, на котором установлен протокол SSL, то сервер передает браузеру цифровой документ (сертификат) о том, что сайт является подлинным (а не фейк или клон чего-то там…). Кстати, если с таким сайтом все хорошо, то браузеры их помечают “зеленым” замочком напротив URL-строки: на скрине ниже показано, как это выглядит в Chrome.
Однако, сертификаты могут выпускать, как всем известные организации (Symantec, Rapidssl, Comodo и др.), так и вообще кто-угодно. Разумеется, если браузер и ваша система “не знает” того, кто выпустил сертификат (или возникает подозрение в его правильности) — то появляется подобная ошибка.
Т.е. я веду к тому, что под раздачу могут попасть как совсем белые сайты, так и те, которые реально опасно посещать. Поэтому, появление подобной ошибки это повод внимательно взглянуть на адрес сайта.
Ну а в этой статье я хочу указать на несколько способов устранения подобной ошибки, если она стала появляться даже на белых и известных сайтах (например, на Google, Яндекс, ВК и многих других. Их же вы не откажетесь посещать? 😉).
*
👉 1) Обратите внимание на адрес сайта
Первое, что сделайте — просто обратите внимание на адрес сайта (возможно, что вы по ошибке набрали не тот URL).
Также иногда такое происходит по вине сервера, на котором расположен сайт (возможно, вообще, сам сертификат просто устарел, ведь его выдают на определенное время). Попробуйте посетить другие сайты, если с ними все “OK” — то вероятнее всего, что проблема не в вашей системе, а у того конкретного сайта.
Однако, отмечу, что если ошибка появляется на очень известном сайте, которому вы (и многие другие пользователи) всецело доверяете — то высока вероятность проблемы в вашей системе…
*
👉 2) Проверьте дату и время, установленные в Windows
Второй момент: подобная ошибка может выскакивать, если у вас в системе неверно задано время или дата. Для их корректировки и уточнения достаточно щелкнуть мышкой по “времени” в панели задач Windows (в правом нижнем углу экрана).
См. скрин ниже. 👇
📌В помощь!
Как настроить дату и время в Windows 10/11: см. пошаговую инструкцию
После установки правильного времени, перезагрузите компьютер и попробуйте заново открыть браузер и сайты в нем. Ошибка должна исчезнуть.
Также обращаю внимание на то, что, если у вас постоянно сбивается время – вероятно у вас села батарейка на материнской плате. Представляет она из себя небольшую “таблетку”, благодаря которой компьютер помнит введенные вами настройки, даже если вы его отключаете от сети (например, те же дата и время как-то высчитываются?).
*
👉 3) Попробуйте провести обновление корневых сертификатов
Еще один вариант, как можно попробовать решить эту проблему – установить обновление корневых сертификатов. Обновления можно скачать на сайте Microsoft для разных ОС. Для клиентских ОС (т.е. для обычных домашних пользователей) подойдут вот эти обновления: https://support.microsoft.com/ (ссылка ну нужную страничку).
*
👉 4) Установка “доверенных” сертификатов в систему
Этот способ хоть и рабочий, но хотелось бы предупредить, что он “может” стать источником проблем в безопасности вашей системы. По крайней мере, прибегать к этому советую только для таких крупных сайтов как Google, Яндекс и т.д.
Для избавления от ошибки, связанной с недостоверностью сертификата, должен подойти спец. пакет GeoTrust Primary Certification Authority.
Скачать GeoTrust Primary Certification Authority можно с сайта: http://www.geotrust.com/resources/root-certificates/index.html
Кстати, на этой страничке расположено еще несколько сертификатов, их также можно до-установить в систему.
*
Кстати, чтобы скачать GeoTrust Primary Certification Authority:
- нажмите правой кнопкой мышки по ссылке download и выберите вариант “сохранить ссылку как…”;
- далее укажите папку на диске, куда будет скачан сертификат. Это будет файл формата PEM.
Теперь необходимо скачанный сертификат установить в систему. Как это делается, по шагам расскажу чуть ниже:
- сначала нажимаем сочетание кнопок Win R, и вводим команду certmgr.msc, жмем OK;
- должен открыться центр сертификатов в Windows. Необходимо раскрыть вкладку “Доверенные корневые центры сертификации/сертификаты”, щелкнуть по ней правой кнопкой мышки и выбрать “Все задачи – импорт”.
- далее запустится мастер импорта сертификатов. Просто жмем “Далее”.
- после нажмите кнопку “Обзор” и укажите ранее загруженный нами сертификат. Нажмите “Далее” (пример показан ниже); 👇
- в следующем шаге укажите, что сертификаты нужно поместить в доверенные центры сертификации и нажмите “Далее”.
- в следующем шаге вы должны увидеть, что импорт успешно завершен. Собственно, можно идти проверять, как будет отображаться сайт в браузере (может потребоваться перезагрузка ПК).
*
👉 5) Обратите внимание на антивирусные утилиты
В некоторых случаях эта ошибка может возникать из-за того, что какая-нибудь программа (например, антивирус) проверяет https трафик. Это видит браузер, что пришедший сертификат не соответствует адресу, с которого он получен, и в результате появляется предупреждение/ошибка…
Поэтому, если у вас установлен антивирус/брандмауэр, проверьте и на время отключите настройку сканирования https трафика (см. пример настроек AVAST на скрине ниже). 👇
Либо, как вариант, на время удалите его или полностью отключите!
*
📌 PS
Чтобы открыть проблемный сайт — загрузите браузер MX5 (я о нем рассказывал в заметке о флеш-играх). При попытке перейти на “проблемный” сайт в нем — он вас предупредит, что это не безопасно, но если вы подтвердите свое намерение — н загрузит страничку!
В общем, рекомендую иметь такой инструмент под-рукой. 👌
*
На этом у меня всё…
За дополнения по теме – отдельное мерси!
Всего доброго!
Первая публикация: 2.05.2021
Корректировка: 9.11.2021
Правила, которые помогут защитить ваши онлайн-конференции.
Используйте последнюю версию ПО.
Загружайте установщик программы только с официальных ресурсов.
Убедитесь, что ID встречи генерируется автоматически для повторяющихся мероприятий.
Не публикуйте ID встреч в интернете.
Запретите передачу файлов.
Разрешите показ экрана только организатору встречи, чтобы защититься от зумбомбинга.
Разрешайте подключение к встречам только авторизованным пользователям.
Закройте возможность новых подключений после начала мероприятия.
Включите для организатора возможность блокировать или удалять участников встречи.
Важно! Zoom наконец сделают безопаснее: компания купила стартап Keybase
Меры, которые реализует разработчик Zoom, и соблюдение правил “онлайн-гигиены” для видеоконференций позволят эффективно и безопасно работать даже в условиях пандемии.
Реакция компаний и zoom
Учитывая обилие проблем с безопасностью, многие компании и правительственные организации отказываются от Zoom, запрещая своим сотрудникам пользоваться сервисом. В их числе Google, Сенат США и Правительство Германии, NASA и SpaceX, а также множество других компаний и правительств разных стран.
Программ без ошибок не бывает, поэтому их обнаружение в Zoom не является чем-то необычным. Гораздо важнее то, как компания-разработчик реагирует на выявленные ошибки. На начальном этапе Zoom проявил совершенно неприемлемую медлительность, игнорируя уведомления о проблемах.
Однако массовые отказы от использования сервиса сыграли свою роль. В своем интервью CNN в начале апреля CEO Zoom Эрик Юань сказал, что компания двигалась слишком быстро, поэтому они допустили некоторые ошибки. Усвоив урок, они сделали шаг назад, чтобы сосредоточиться на конфиденциальности и безопасности.
Этим шагом назад стала программа “90 дней к безопасности”, запущенная 1 апреля 2020 года. В соответствии с ней компания останавливает работу над новыми функциями и занимается только устранением выявленных проблем, а также проводит аудит безопасности кода.
Видимым для пользователей результатом этой программы стал выпуск Zoom версии 5.0, в которой помимо прочего был произведен апгрейд AES-шифрования до 256 бит, а также реализовано множество других доработок, связанных с безопасностью по умолчанию.
Рекомендации
Использование любых программ требует ответственного отношения к безопасности, и Zoom не исключение.
Своевременно обновляйте ваше приложение!
К чести разработчиков, они достаточно оперативно выпускают обновления и патчи, решающие некоторые проблемы, связанные с безопасностью.
Сомнительные алгоритмы шифрования
Вопрос о безопасности при работе в Zoom не стоял бы в принципе, если бы разработчики озаботились созданием качественного алгоритма шифрования.
Тем не менее, Zoom не использует признанный одним из наиболее безопасных для видеозвонков протокол сквозного шифрования (end-to-end encryption), вместо этого ограничившись алгоритмами так называемого шифрования транспортного уровня.
Так стоит ли вообще использовать zoom при удаленной работе?
Из всего вышеописанного может возникнуть вопрос: «Действительно ли можно без опасения за собственную безопасность использовать Zoom для видеосвязи?».
Что ж, если Вы работаете в государственном учреждении или транснациональной корпорации, при этом имея доступ к ценной конфиденциальной информации, Вам стоит обратить свое внимание на более безопасные, но при этом менее удобные альтернативы приложению Zoom.
Однако, если Вы не представляете, как организовать удаленную работу без Zoom и считаете данную программу эталоном для проведения видеоконференций, то использование VPN (виртуальная частная сеть) может решить любые проблемы с безопасностью.
Хит-парад багов zoom
За последние несколько месяцев публикации о критических уязвимостях в Zoom появлялись в лентах новостей едва ли не чаще, чем сообщения об ошибках Windows. Приведем самые нашумевшие проблемы:
Attendee attention tracking: я слежу за тобой
Например, функция Attendee Attention Tracking (отслеживания внимания слушателей) позволяет вычислять тех, кто отвлекается от беседы на посторонние дела. Очевидно, что это кажется полезным руководителям компаний и ведущим учебных занятий, однако минусы этой функции значительно серьёзнее, поскольку она использует трекеры слежения (скрипты, осуществляющие удалённую слежку за всеми участниками), которые
«обходить параметры безопасности в браузере и вести несогласованную слежку за пользователем и его действиями посредством веб-камеры», к чему неоднократно возникали вопросы со стороны специалистов по защите персональных данных.
Прислушавшись к критике Attendee Attention Tracking со стороны специалистов по кибербезопасности, разработчики из Zoom Video Communications решили избавиться от этой функции, о чём сообщили на сайте приложения: «2 апреля 2020 года мы удалили функцию отслеживания внимания пользователей в целях обеспечения безопасности и конфиденциальности наших клиентов».