- PVSM.RU - https://www.pvsm.ru -
В связи с массовым переходом на удалённую работу приложение для видеоконференций Zoom резко выросло в популярности [1]. Но это не идеальный вариант с точки зрения безопасности. Хотя Zoom предлагает end-to-end шифрование [2] для текстовых чатов, а шифрование видеоконференций можно активировать на стороне хоста [3], если верить разработчикам проприетарной программы.
Но тип шифрования невозможно проверить, потому что код закрыт, а с точки зрения приватности приложение Zoom вызывает вопросы у некоторых экспертов. Например, хост может активировать странную функцию «трекинг внимания» [4] (attention tracking). Она отслеживает, что участник не отвлекается от совещания больше, чем на 30 секунд (окно приложения должно быть открыто и активно).
Конечно, пользователи нашли выход из ситуации. Например, можно запустить активное окно Zoom на смартфоне или планшете, а в это время спокойно работать на компьютере или ноутбуке, или наоборот.
Вызывает подозрение официальная политика приватности [6] Zoom, в которой компания предупреждает о сборе большого массива персональных данных на пользователей:
При этом в документе практически ничего не сказано, зачем собирается эта информация и как она используется. Компания даже не может прямо ответить на вопрос «Вы продаёте эту информацию?»
Electronic Privacy Information Center (EPIC) в прошлом году предупреждал [7], что «Zoom умышленно разработан для обхода настроек безопасности браузера и удалённого включения веб-камеры пользователя без его ведома или согласия»
В июле 2019 года специалисты по безопасности с удивлением узнали, что после установки и удаления клиента Zoom на localhost остаётся активный веб-сервер [8], который может самостоятельно переустановить Zoom без участия пользователя.
Конечно, компания постаралась быстро исправить этот баг (который на самом деле был фичей) и извиниться перед публикой, но отношение Zoom к приватности от этого не изменилось.
В марте 2020 года выяснилось, что приложение Zoom для iOS отправляет данные в Facebook, даже если у вас нет аккаунта Facebook [9]. Анализ сетевой активности показал, что приложение подключается к Facebook Graph API, отправляет туда информацию об открытии приложения, данные об устройстве пользователя (модель, часовой пояс, город, оператор связи) и уникальный рекламный идентификатор [10], который генерируется на устройстве для профилирования и слежки за пользователем с целью таргетирования рекламы.
Об отправке данных в Facebook ничего не говорится в политике приватности Zoom. Руководство компании уверяет, что это произошло случайно: «Zoom чрезвычайно серьёзно относится к конфиденциальности своих пользователей, — сказано в официальном заявлении [11]. — Мы изначально реализовали функцию входа через Facebook, чтобы предоставить нашим пользователям ещё один удобный способ доступа к нашей платформе. Однако недавно нам стало известно, что Facebook SDK собирает ненужные данные с устройств. В ближайшие дни Facebook SDK будет удалён. Чтобы изменения вступили в силу, нужно будет обновиться до последней версии приложения, и мы рекомендуем им сделать это. Мы искренне приносим свои извинения за этот недосмотр и остаемся твёрдо приверженными защите данных наших пользователей».
В то же время журнал Consumer Reports печатает советы, как защититься от навязчивой слежки со стороны Zoom [12], а эксперты требуют от компании изменить официальную политику приватности [13].
К счастью, Zoom — не единственный вариант для проведения видеоконференций. Есть ещё Facetime (только для Mac и iOS), WhatsApp (принадлежит Facebook), Wire (нет бесплатной версии), Google Meet (отсутствует end-to-end шифрование, требует аккаунта Google), Skype Meet, Cisco Webex, StarLeaf, Nextcloud Talk и прочие.
Наконец, есть бесплатная, полнофункциональная и опенсорсная программа Jitsi Meet [14]. Для её использования не требуется регистрация аккаунта, а сама программа работает в браузере.
Пользователи могут делиться своим рабочим столом или проводить презентации. Если вы хотите выступить с публичными лекциями, можно транслировать видеоконференцию на YouTube. И наоборот, можно смотреть видео с YouTube всем вместе в чате Jitsi. Документы можно совместно редактировать в Etherpad [15], также имеется соединение для тех, кто хочет дозвониться по телефону.
У участников конференции есть возможность виртуально поднять руку с помощью собственной кнопки — сигнализировать, что вы хотите получить слово следующим. Существует встроенный чат для обмена текстовыми сообщениями, а также функция записи текущего обсуждения.
Технически продвинутые пользователи могут поднять у себя собственный сервер Jitsu Videobridge [16], который обрабатывает в реальном времени тысячи видеопотоков по WebRTC. Такой вариант может подойти компаниям, которые не хотят отдавать трафик наружу и могут сами организовать видеоконференции.
Примечание. В данный момент у веб-клиента Jitsi небольшие проблемы при работе в Firefox, потому что этот браузер не очень хорошо поддерживает simulcast [22] (одновременная трансляция на несколько узлов). В результате, если к конференции присоединяется пользователь на Firefox, у всех остальных резко возрастает нагрузка на CPU и расход батареи. Mozilla обещает исправить ситуацию [23] в ближайшее время.
Автор: Дата-центр "Миран"
Источник [25]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/firefox-2/351129
Ссылки в тексте:
[1] резко выросло в популярности: https://www.nytimes.com/2020/03/17/style/zoom-parties-coronavirus-memes.html
[2] end-to-end шифрование: https://support.zoom.us/hc/en-us/articles/207599823-End-To-End-Encryption-for-Chat
[3] можно активировать на стороне хоста: https://zoom.us/security
[4] «трекинг внимания»: https://support.zoom.us/hc/en-us/articles/115000538083-Attendee-attention-tracking
[5] March 12, 2020: https://twitter.com/timdgreen/status/1238193872943173639?ref_src=twsrc%5Etfw
[6] политика приватности: https://zoom.us/privacy
[7] предупреждал: https://epic.org/2019/07/epic-files-complaint-with-ftc-.html
[8] остаётся активный веб-сервер: https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5
[9] отправляет данные в Facebook, даже если у вас нет аккаунта Facebook: https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
[10] рекламный идентификатор: https://konsole.zendesk.com/hc/en-us/articles/115013349668-Identify-Android-AdIDs-Apple-IDFAs-and-Safari-IDs
[11] официальном заявлении: https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/
[12] советы, как защититься от навязчивой слежки со стороны Zoom: https://www.consumerreports.org/video-conferencing-services/zoom-teleconferencing-privacy-concerns/
[13] изменить официальную политику приватности: https://blogs.harvard.edu/doc/2020/03/27/zoom/
[14] Jitsi Meet: https://meet.jit.si/
[15] Etherpad: https://etherpad.org/
[16] Jitsu Videobridge: https://jitsi.org/jitsi-videobridge/
[17] Публичные серверы Jitsi Meet: https://github.com/jitsi/jitsi-meet/wiki/Jitsi-Meet-Instances
[18] Руководство по установке Jitsi на Linux-сервер: https://jitsi.org/news/new-tutorial-installing-jitsi-meet-on-your-own-linux-server/
[19] Установка Jitsi Meet на Raspberry Pi 3: https://www.instructables.com/id/Video-Calling-on-Raspberry-Pi-3/
[20] Форумы Jitsi Community: https://community.jitsi.org/
[21] Репозиторий Jitsi на GitHub: https://github.com/jitsi
[22] не очень хорошо поддерживает simulcast: https://github.com/jitsi/jitsi-meet/issues/4758
[23] обещает исправить ситуацию: https://github.com/jitsi/jitsi-meet/issues/4758#issuecomment-563190289
[24] Image: http://miran.ru/
[25] Источник: https://habr.com/ru/post/494672/?utm_source=habrahabr&utm_medium=rss&utm_campaign=494672
Нажмите здесь для печати.