cs:app:zoomsecurity

Vyjádření k aktuálním bezpečnostním otázkám ohledně platformy ZOOM

Útočníci se snaží zneužít aktuální popularitu platformy Zoom k phishingovým útokům

https://cesnet.zoom.us je z pohledu phishingu zcela jistě bezpečná doména. Nelze vyloučit, že phishingové útoky na Zoom budou v budoucnosti zaměřeny i na uživatele v ČR a na CESNET. Vždy je potřeba zkontrolovat doménu, na kterou přistupujete včetně validity certifikátů. CESNET nebude nikdy vyzývat uživatele, aby se k Zoomu přihlásili například za účelem aktualizace nebo ověření osobních údajů nebo hesel. Přihlášení k Zoomu na https://cesnet.zoom.us je řešeno prostřednictvím federace eduID.cz, tj. taková výzva ani nedává smysl.

Útočníci prodávají uživatelská jména a hesla uživatelů Zoomu

Na platformu Zoom jsou prováděny útoky, kdy se útočníci zkouší k Zoomu přihlásit pomocí dříve uniklých kombinací uživatelských jmen (např. z Googlu, Hotmailu apod.) a hesel, platné kombinace pak dále prodávají nebo zneužívají např. pro distribuci malware. https://cesnet.zoom.us/ je vúči takovým útokům zabezpečen pomocí přihlášení prostřednictvím federace eduID.cz. Přihlášení probíhá vždy v kontextu domovské organizace uživatele a citlivé autentizační údaje uživatele neopouští domovskou síť jeho organizace. To také například znamená, že na https://cesnet.zoom.us/ neukládáme uživatelská hesla a nemohou tak z https://cesnet.zoom.us/ uniknout.

Prostřednictvím Zoom aplikací je distribuován malware

V případě instalace jakýchkoliv aplikací je třeba dbát opatrnosti a nestahovat aplikace z podezřelých zdrojů mimo https://cesnet.zoom.us/download/, https://zoom.us/download/ nebo oficiálních zdrojů aplikací na platformách iOS a Android. Je také vhodné kontrolovat, zda jsou aplikace důvěryhodně podepsané a v každém případě používat antivirovou a antimalware ochranu.

Aplikace Zoomu obsahují závažné zranitelnosti

V souvislosti s rostoucí popularitou platformy Zoom se objevilo několik nových zranitelností, které jsou průběžně opravovány. Podobná situace ale nastala i u ostatních videokonferenčních platforem včetně MS Teams. V každém případě je nutné pravidelně aktualizovat software na vašich zařízeních a používat aktuální verze aplikací pro Zoom.

Zoom sleduje uživatele skrz Facebook

Zoom umožňuje uživatelům přihlášení i prostřednictvím identity sociální sítě Facebook. Předchozí verze aplikace Zoomu na platformě iOS obsahovaly v rámci autentizace uživatelů prostřednictvím Facebooku i kód, který umožňoval Facebooku sledovat uživatele a to i bez jejich vědomí. Pokud víme, tak Zoom již tento problém napravil (byť v tichosti). V každém případě doporučujeme používat aktuální verze Zoom aplikací. V případě pochybností je možné použít i anonymní přístup přes webový prohlížeč a nebo přístup přes webový prohlížeč s autentizací prostřednictvím federace eduID.cz

Zoom neposkytuje end-to-end šifrování obsahu webkonferencí

Zoom v tomto smyslu nepodal v minulosti zcela přesná vyjádření. Zoom end-to-end šifrování opravdu neposkytuje ve všech případech. Zejména pokud uživatelé používají funkci záznamu meetingů v Zoom cloudu, pak funkce end-to-end šifrování ani nedává smysl. Meeting je v takovém případě zaznamenáván na serverech Zoomu a jeho obsah tak musí Zoom dešifrovat.

Zoombombing

Zoom může být cílem pokusů o neoprávněné připojení do meetingu (tzv. Zoombombing). To platí pro všechny videokonferenční platformy, které dovolují připojení anonymním účastníkům skrz webový odkaz, který je možné uhodnout. Před neoprávněným vstupem do konference lze zabránit nastavením hesla meetingu a nebo použitím funkce Waiting room během zakládání videokonference, každý účastník před připojením pak musí být schválen.

Oficiální vyjádření ZOOM k aktuálním bezpečnostním otázkám.

Poslední úprava: 2020/04/15 14:21