Видеоконференции: обзор приватности сервисов

2021-03-16 1407 комментарии
Аналитический отдел Falcongaze рассмотрел политики приватности наиболее популярных сервисов для видеоконференций (Zoom, Microsoft Teams, Google Meet и Hangouts) и связанные с ними инциденты безопасности

Далеко не всегда получается собрать всех друзей или команду в одном месте, особенно когда люди живут в разных точках страны или земного шара.

Особенно остро вопрос связи между людьми встал в период пандемии. И на помощь в таких ситуациях приходят сервисы для видеоконференций. Они позволяют собраться компанией, даже если вас разделяют тысячи километров или карантин.

Однако насколько безопасно использование таких сервисов для ваших персональных данных? Аналитический отдел Falcongaze рассмотрел политики приватности наиболее популярных сервисов для видеоконференций (Zoom, Microsoft Teams, Google Meet и Google Hangouts) и связанные с ними инциденты безопасности.

Zoom

Zoom сейчас является, наверное, самым популярным сервисом для видеоконференций. С его помощью проводят занятия в школах и университетах, совещания в компаниях и даже вечеринки. А что можно сказать про приватность личных данных его пользователей?

Что касается шифрования данных, то Zoom шифрует видео-, аудиопотоки и изображения экрана пользователя по стандартам Advanced Encryption Standard с применением 256-разрядных ключей. Ключи действуют только для определённого сеанса при использовании клиента Zoom.

Собирает же сервис данные о владельце учётной записи (к ним относятся фамилия и имя, адрес электронной почты, изображение аватара, предпочтительный язык, расписание конференций и т.д. Для платной учётной записи также собирают данные для выставления счёта: имя, номер телефона, адрес, способ оплаты и т.д.), операционные данные (где и как используется Zoom), данные отзывов и взаимодействия с техподдержкой сервиса, приблизительное местоположение пользователя и файлы cookie вкупе с пикселями отслеживания (используются, например, в Google Analytics и Google Ads).

Также сервис собирает некоторые маркетинговые данные и данные о посетителях мероприятия в случае, если оно полностью или частично спонсируется Zoom.

Не обошлось и без инцидентов безопасности. Помимо стандартных фишинговых рассылок с текстом типа «вас пригласили в конференцию» или «вы пропустили конференцию, пожалуйста, настройте напоминания» и ссылками на страницы, которые воруют учётные данные пользователей, известным в интернет-сообществе стал Zoom-бомбинг. Злоумышленники (как правило, интернет-тролли) могли заходить в закрытые конференции и имели те же возможности, что и приглашённые пользователи: всё слышали, видели, а также могли говорить и транслировать изображение с веб-камеры, что нередко заканчивалось хаосом. Однако, как показало совместное исследование Бостонского и Бингхэмтонского университетов, виной этому феномену стали сами пользователи. Они публично указывали ссылки на свои конференции и пароли к ним в социальных сетях. Компания решила проблему довольно элегантно: добавила комнату ожидания, из которой пользователя должны «впустить» в конференцию, а также дала пользователям возможность оставлять жалобы на «бомберов».

Также случались инциденты, когда в спам-рассылках распространялись заражённые бэкдорами или программами-шпионами установщики Zoom. Если пользователь скачивал и запускал такую программу, то он устанавливал сам клиент сервиса, но получал неприятный бонус в виде вредоносного ПО.

Google Meet и Google Hangouts

Эти продукты очень тесно связаны со всей экосистемой Google. Как следствие, рассматривать приватность и безопасность этого сервисов нужно, опираясь на всю экосистему Google.

Прежде всего, в Google внедрили целый ряд функций, нацеленных на обеспечение безопасности пользователей. Это и ряд функций для защиты от злоумышленников (например, коды для доступа к встречам или двухфакторная аутентификация), и включенное по умолчанию шифрование данных. Также компания даёт пользователям возможность полностью или частично удалить сведения о себе из сервисов Google.

Очень важно отметить то, что все, кто работает с данными пользователей (сотрудники компании, подрядчики, агенты), на уровне договора несут ответственность за конфиденциальность этих данных.

Что касается собираемых данных, то на странице самого Google Meet информации как таковой нет. Это вполне ожидаемо, потому что все сервисы Google очень тесно связаны между собой и в принципе отдельно от всей экосистемы отдельно взятый продукт не работает.

Сам же Google собирает личные данные пользователей, контент, который пользователи создают или получают при использовании сервисов (от комментария на YouTube до созданных документов). Также при использовании сервисов собирается информация об используемых приложениях, браузерах и устройствах. Такие данные об использовании сервисов, как команды голосового управления, поисковые запросы и разные формы взаимодействия с контентом (просмотры видео, клики на рекламные объявления) также записываются. Ну, и данные о местоположении.

Несмотря на то, что серьёзных инцидентов, связанных с Google Meet и Hangouts замечено не было, в 2017 году обнаружили интересную особенность обмена фото в Hangouts: при открытии картинки в новом окне URL изображения можно было скопировать и открыть его на любом другом устройстве. Когда Google сообщили об этом, они сказали, что это не баг и что всё так и должно работать. Получается, что любой пользователь сервиса без преград мог (или может до сих пор) распространять приватную информацию своих собеседников, которой они поделились с помощью изображения.

Microsoft Teams

Продукт от корпорации Microsoft тоже довольно популярен во время пандемии. Как и в случае с сервисами Google, Microsoft Teams очень удобно использовать как часть экосистемы. Тут и синхронизация календарей, и переход в видеоконференцию из чата в один клик, и совместное редактирование документов… звучит красиво. А приватность и безопасность данных пользователей?

Если говорить о безопасности сервиса, то всё на довольно высоком уровне. Безопасность данных обеспечивают использованием протоколов OAUTH, TLS, MTLS и SRTP. Более того, для Microsoft Teams доступны некоторые функции расширенной защиты от угроз (ATP).

Что касается собираемых данных, то Microsoft Teams собирают и обрабатывают данные профиля пользователя, контент чатов, историю звонков, данные о качестве звонков, а также диагностические данные и данные обратной связи (общение с техподдержкой и просто фидбэк по продукту).

Проблемы с безопасностью не обошли стороной и этот сервис. В апреле 2020 года исследователи из CyberArk обнаружили уязвимость, которая позволяла с помощью GIF-файла получить данные аккаунтов пользователей Teams. Однако использование этой уязвимости злоумышленниками не было замечено, а Microsoft исправила уязвимость меньше чем за месяц.

Вместо резюме

В современном мире без подобных сервисов не обойтись, это факт. И выбирают, как правило, не наиболее безопасный и приватный сервис, а наиболее популярный и удобный.

На первый взгляд с политиками приватности всё неплохо у всех сервисов, равно как и с обеспечением безопасности. Однако инциденты замечены тоже за всеми, пусть и не всегда связанные с уязвимостью в самом продукте. К тому же, далеко не всегда какая-то уязвимость является проблемой какого-то одного сервиса. Например, тот же «бомбинг» можно провести в любом другом сервисе для видеоконференций, если кто-то оставит данные для входя в сессию в публичном доступе, и виноват в этом будет отнюдь не сервис.

Все три компании стараются оперативно исправлять баги в своих продуктах и делать их безопаснее, и в принципе вопросы приватности и безопасности в этом случае можно всё-таки поставить чуть ниже вопросов удобства пользования.

Но не забывайте: как бы сильны ни были защитные механизмы сервиса, они будут бесполезны, если вы сами дадите злоумышленникам доступ к своему устройству или аккаунту.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?