Jitsi Meet: опенсорсная альтернатива «шпионскому» видеоприложению Zoom

В связи с массовым переходом на удалённую работу приложение для видеоконференций Zoom резко выросло в популярности ^[1]. Но это не идеальный вариант с точки зрения безопасности. Хотя Zoom предлагает end-to-end шифрование ^[2] для текстовых чатов, а шифрование видеоконференций можно активировать на стороне хоста ^[3], если верить разработчикам проприетарной программы.

Но тип шифрования невозможно проверить, потому что код закрыт, а с точки зрения приватности приложение Zoom вызывает вопросы у некоторых экспертов. Например, хост может активировать странную функцию «трекинг внимания» ^[4] (attention tracking). Она отслеживает, что участник не отвлекается от совещания больше, чем на 30 секунд (окно приложения должно быть открыто и активно).

Конечно, пользователи нашли выход из ситуации. Например, можно запустить активное окно Zoom на смартфоне или планшете, а в это время спокойно работать на компьютере или ноутбуке, или наоборот.

Вызывает подозрение официальная политика приватности ^[6] Zoom, в которой компания предупреждает о сборе большого массива персональных данных на пользователей:

• имя;
• физический адрес;
• почтовый адрес;
• телефонные номера;
• место работы и доолжность;
• информация из профиля Facebook;
• спецификации компьютера или смартфона;
• IP-адрес;
• «информация, которую вы загружаете, предоставляете или создаёте во время использования сервиса».

При этом в документе практически ничего не сказано, зачем собирается эта информация и как она используется. Компания даже не может прямо ответить на вопрос «Вы продаёте эту информацию?»

Electronic Privacy Information Center (EPIC) в прошлом году предупреждал ^[7], что «Zoom умышленно разработан для обхода настроек безопасности браузера и удалённого включения веб-камеры пользователя без его ведома или согласия»

В июле 2019 года специалисты по безопасности с удивлением узнали, что после установки и удаления клиента Zoom на localhost остаётся активный веб-сервер ^[8], который может самостоятельно переустановить Zoom без участия пользователя.

Конечно, компания постаралась быстро исправить этот баг (который на самом деле был фичей) и извиниться перед публикой, но отношение Zoom к приватности от этого не изменилось.

В марте 2020 года выяснилось, что приложение Zoom для iOS отправляет данные в Facebook, даже если у вас нет аккаунта Facebook ^[9]. Анализ сетевой активности показал, что приложение подключается к Facebook Graph API, отправляет туда информацию об открытии приложения, данные об устройстве пользователя (модель, часовой пояс, город, оператор связи) и уникальный рекламный идентификатор ^[10], который генерируется на устройстве для профилирования и слежки за пользователем с целью таргетирования рекламы.

Об отправке данных в Facebook ничего не говорится в политике приватности Zoom. Руководство компании уверяет, что это произошло случайно: «Zoom чрезвычайно серьёзно относится к конфиденциальности своих пользователей, — сказано в официальном заявлении ^[11]. — Мы изначально реализовали функцию входа через Facebook, чтобы предоставить нашим пользователям ещё один удобный способ доступа к нашей платформе. Однако недавно нам стало известно, что Facebook SDK собирает ненужные данные с устройств. В ближайшие дни Facebook SDK будет удалён. Чтобы изменения вступили в силу, нужно будет обновиться до последней версии приложения, и мы рекомендуем им сделать это. Мы искренне приносим свои извинения за этот недосмотр и остаемся твёрдо приверженными защите данных наших пользователей».

В то же время журнал Consumer Reports печатает советы, как защититься от навязчивой слежки со стороны Zoom ^[12], а эксперты требуют от компании изменить официальную политику приватности ^[13].

Jitsi Meet

К счастью, Zoom — не единственный вариант для проведения видеоконференций. Есть ещё Facetime (только для Mac и iOS), WhatsApp (принадлежит Facebook), Wire (нет бесплатной версии), Google Meet (отсутствует end-to-end шифрование, требует аккаунта Google), Skype Meet, Cisco Webex, StarLeaf, Nextcloud Talk и прочие.

Наконец, есть бесплатная, полнофункциональная и опенсорсная программа Jitsi Meet ^[14]. Для её использования не требуется регистрация аккаунта, а сама программа работает в браузере.

Некоторые функции:

• До 75 участников (до 35 при сохранении высокого качества связи)
• Публичные и приватные чаты
• Размытие фона за человеком (функция пока в бета-версии)
• Интеграция со Slack, Google Calendar и Office 365

Пользователи могут делиться своим рабочим столом или проводить презентации. Если вы хотите выступить с публичными лекциями, можно транслировать видеоконференцию на YouTube. И наоборот, можно смотреть видео с YouTube всем вместе в чате Jitsi. Документы можно совместно редактировать в Etherpad ^[15], также имеется соединение для тех, кто хочет дозвониться по телефону.

У участников конференции есть возможность виртуально поднять руку с помощью собственной кнопки — сигнализировать, что вы хотите получить слово следующим. Существует встроенный чат для обмена текстовыми сообщениями, а также функция записи текущего обсуждения.

Технически продвинутые пользователи могут поднять у себя собственный сервер Jitsu Videobridge ^[16], который обрабатывает в реальном времени тысячи видеопотоков по WebRTC. Такой вариант может подойти компаниям, которые не хотят отдавать трафик наружу и могут сами организовать видеоконференции.

Полезные ссылки

• Публичные серверы Jitsi Meet ^[17]
• Руководство по установке Jitsi на Linux-сервер ^[18]
• Установка Jitsi Meet на Raspberry Pi 3 ^[19]
• Форумы Jitsi Community ^[20]
• Репозиторий Jitsi на GitHub ^[21]

Примечание. В данный момент у веб-клиента Jitsi небольшие проблемы при работе в Firefox, потому что этот браузер не очень хорошо поддерживает simulcast ^[22] (одновременная трансляция на несколько узлов). В результате, если к конференции присоединяется пользователь на Firefox, у всех остальных резко возрастает нагрузка на CPU и расход батареи. Mozilla обещает исправить ситуацию ^[23] в ближайшее время.

Автор: Дата-центр "Миран"

Источник ^[25]