https://cesnet.zoom.us je z pohledu phishingu zcela jistě bezpečná doména. Nelze vyloučit, že phishingové útoky na Zoom budou v budoucnosti zaměřeny i na uživatele v ČR a na CESNET. Vždy je potřeba zkontrolovat doménu, na kterou přistupujete včetně validity certifikátů. CESNET nebude nikdy vyzývat uživatele, aby se k Zoomu přihlásili například za účelem aktualizace nebo ověření osobních údajů nebo hesel. Přihlášení k Zoomu na https://cesnet.zoom.us je řešeno prostřednictvím federace eduID.cz, tj. taková výzva ani nedává smysl.
Na platformu Zoom jsou prováděny útoky, kdy se útočníci zkouší k Zoomu přihlásit pomocí dříve uniklých kombinací uživatelských jmen (např. z Googlu, Hotmailu apod.) a hesel, platné kombinace pak dále prodávají nebo zneužívají např. pro distribuci malware. https://cesnet.zoom.us/ je vúči takovým útokům zabezpečen pomocí přihlášení prostřednictvím federace eduID.cz. Přihlášení probíhá vždy v kontextu domovské organizace uživatele a citlivé autentizační údaje uživatele neopouští domovskou síť jeho organizace. To také například znamená, že na https://cesnet.zoom.us/ neukládáme uživatelská hesla a nemohou tak z https://cesnet.zoom.us/ uniknout.
V případě instalace jakýchkoliv aplikací je třeba dbát opatrnosti a nestahovat aplikace z podezřelých zdrojů mimo https://cesnet.zoom.us/download/, https://zoom.us/download/ nebo oficiálních zdrojů aplikací na platformách iOS a Android. Je také vhodné kontrolovat, zda jsou aplikace důvěryhodně podepsané a v každém případě používat antivirovou a antimalware ochranu.
V souvislosti s rostoucí popularitou platformy Zoom se objevilo několik nových zranitelností, které jsou průběžně opravovány. Podobná situace ale nastala i u ostatních videokonferenčních platforem včetně MS Teams. V každém případě je nutné pravidelně aktualizovat software na vašich zařízeních a používat aktuální verze aplikací pro Zoom.
Zoom umožňuje uživatelům přihlášení i prostřednictvím identity sociální sítě Facebook. Předchozí verze aplikace Zoomu na platformě iOS obsahovaly v rámci autentizace uživatelů prostřednictvím Facebooku i kód, který umožňoval Facebooku sledovat uživatele a to i bez jejich vědomí. Pokud víme, tak Zoom již tento problém napravil (byť v tichosti). V každém případě doporučujeme používat aktuální verze Zoom aplikací. V případě pochybností je možné použít i anonymní přístup přes webový prohlížeč a nebo přístup přes webový prohlížeč s autentizací prostřednictvím federace eduID.cz
Zoom v tomto smyslu nepodal v minulosti zcela přesná vyjádření. Zoom end-to-end šifrování opravdu neposkytuje ve všech případech. Zejména pokud uživatelé používají funkci záznamu meetingů v Zoom cloudu, pak funkce end-to-end šifrování ani nedává smysl. Meeting je v takovém případě zaznamenáván na serverech Zoomu a jeho obsah tak musí Zoom dešifrovat.
Zoom může být cílem pokusů o neoprávněné připojení do meetingu (tzv. Zoombombing). To platí pro všechny videokonferenční platformy, které dovolují připojení anonymním účastníkům skrz webový odkaz, který je možné uhodnout.
Před neoprávněným vstupem do konference lze zabránit nastavením hesla meetingu a nebo použitím funkce Waiting room během zakládání videokonference, každý účastník před připojením pak musí být schválen.
Oficiální vyjádření ZOOM k aktuálním bezpečnostním otázkám.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz