Ik begrijp de negativiteit rondom Zoom niet zo.
1) Zoom heeft heel actief geprobeerd om alle mogelijke "lastige meldingen" (=beveiligingsfuncties) van het OS te omzeilen. Dit ter behoeve van de gebruikersvriendelijkheid.
Op OSX deed de installeer vanuit het pre-requirement-check al de volledige install, en misleide de gebruiker met een andere prompt om zijn wachtwoord te geven.
Op OSX draaide Zoom een webserver op localhost, waarmee de website via websockets de zoom-calls direct opende in de app. Dat allemaal zonder security. Iedere website kon dit benaderen, en ook zo het upgrade proces uitvoeren (met een willekeurige URL/binary!). Na deïnstallatie van zoom bleef deze vulnerable webserver gewoon actief. Dan kan je immers "makkelijker" zoom herinstalleren. Side-effect: je kon als hacker op OSX iedere willekeurige binary installeren, en zonder melding camera en audio afluisteren.
2) Superveilige encryptie beloven, en dat helemaal niet bieden (niet E2E, en slechts AES-128)
3) Videorecordings op publieke URLs neerzetten, die makkelijk te raden zijn.
4) Calls via china routen. Zoom servers kunnen calls decrypten.
5) Emailadressen lekken, doordat het iedereen met een @xs4all.nl of @dds.nl in een "company" map zichtbaar werd.
6) Veel mogelijkheden voor de starter van de call: stilletjes alles opnemen, naderhand prive chats inzien.
7) Je kon willekeurige emailadressen koppelen aan jouw account (email bevestigingslink gebruikte dezelfde ID als de aanmeldpagina).
8 ) Meeting ID's die makkelijk te raden zijn, en zonder wachtwoord te openen.
9) Eigen encrypte uitvinden, waardoor de call alsnog via waiting-rooms af te luisteren was.
10) Bugs met informatiecraping. Je kan doen alsof je lid bent van een organisatie, en vervolgens alle gebruikers van de organisatie uitlezen.
11) De nieuwe 5.0 release aankondigen, waarin alles nu gefixed is. Saillant detail: deze is pas over 1 week echt uit.
Dat soort dingen zijn gewoon not-done. Een foutje kan gebeuren, maar niet zo structureel als dit. Veel van deze fouten laten zien dat er niet is nagedacht over databescherming. Andere fouten ontstaan alleen als je hard je best doet om beveiligingen te omzeilen, en dus gebruikers in het gevaar te brengen. En ja, dan verdien je wel een storm van kritiek.
https://www.tomsguide.com/news/zoom-security-privacy-woes
p.s. als je echt Zoom moet gebruiken, kan dat ook veilig via hun website. Dan moet je eerst een account aanmaken, en diep in de settings opgeven dat je ook "open in browser" links wil zien op de join-pagina. Dan kan je prima in de browser een zoom-call starten.
[Reactie gewijzigd door YaPP op 23 juli 2024 22:05]