cs:app:zoomsecurity

Toto je starší verze dokumentu!


Vyjádření k aktuální bezpečnostmí otázkám ohledně platfomry ZOOM

Útočníci se snaží zneužít aktuální popularitu platformy Zoom k phishingovým útokům

https://cesnet.zoom.us je z pohledu phishingu zcela jistě bezpečná doména. Nelze vyloučit, že phishingové útoky na Zoom budou v budoucnosti zaměřeny i na uživatele v ČR a na CESNET. Vždy je potřeba zkontrolovat doménu, na kterou přistupujete včetně validity certifikátů. CESNET nebude nikdy vyzývat uživatele, aby se k Zoomu přihlásili například za účelem aktualizace nebo ověření osobních údajů nebo hesel. Přihlášení k Zoomu na https://cesnet.zoom.us je řešeno prostřednictvím federace eduID.cz, tj. taková výzva ani nedává smysl.

Prostřednictvím Zoom aplikací je distribuován malware

V případě instalace jakýchkoliv aplikací je třeba dbát opatrnosti a nestahovat aplikace z podezřelých zdrojů mimo https://zoom.us/download/ nebo oficiálních zdrojů aplikací na platformách iOS a Android. Je také vhodné kontrolovat, zda jsou aplikace důvěryhodně podepsané a v každém případě používat antivirovou a antimalware ochranu.

Aplikace Zoomu obsahují závažné zranitelnosti

V souvislosti s rostoucí popularitou platformy Zoom se objevilo několik nových zranitelností, které jsou průběžně opravovány. Podobná situace ale nastala i u ostatních videokonferenčních platforem včetně MS Teams. V každém případě je nutné pravidelně aktualizovat software na vašich zařízeních a používat aktuální verze aplikací pro Zoom.

Zoom sleduje uživatele skrz Facebook

Zoom umožňuje uživatelům přihlášení i prostřednictvím identity sociální sítě Facebook. Předchozí verze aplikace Zoomu na platformě iOS obsahovaly v rámci autentizace uživatelů prostřednictvím Facebooku i kód, který umožňoval Facebooku sledovat uživatele a to i bez jejich vědomí. Pokud víme, tak Zoom již tento problém napravil (byť v tichosti). V každém případě doporučujeme používat aktuální verze Zoom aplikací. V případě pochybností je možné použít i anonymní přístup přes webový prohlížeč a nebo přístup přes webový prohlížeč s autentizací prostřednictvím federace eduID.cz

Zoom neposkytuje end-to-end šifrování obsahu webkonferencí

Zoom v tomto smyslu nepodal v minulosti zcela přesná vyjádření. Zoom end-to-end šifrování opravdu neposkytuje ve všech případech. Zejména pokud uživatelé používají funkci záznamu meetingů v Zoom cloudu, pak funkce end-to-end šifrování ani nedává smysl. Meeting je v takovém případě zaznamenáván na serverech Zoomu a jeho obsah tak musí Zoom dešifrovat.

Zoombombing

Zoom může být cílem pokusů o neoprávněné připojení do meetingu (tzv. Zoombombing). To platí pro všechny videokonferenční platformy, které dovolují připojení anonymním účastníkům skrz webový odkaz, který je možné uhodnout. Před neoprávněným vstupem do konference lze zabránit nastavením hesla meetingu a nebo použitím funkce Waiting room během zakládání videokonference, každý účastník před připojením pak musí být schválen.

Poslední úprava:: 2020/04/03 21:24