Microsoft odpravil hrošča, Zoom ima luknjo
Matej Huš
31. mar 2020 ob 21:12:25
Zadnji dnevi so spričo intenzivne uporabe mobilnih poti za delo, zabavo in druženje razkrili tudi nekatere ranljivosti v programski opremi, ki bi sicer dlje ostale neznane. Microsoft je tako danes izdal izredni popravek za Windows 10, ki je odpravil težave s povezljivostjo z oblakom za Office 365, če so naprave uporabljale posredniški strežnik (proxy) ali povezavo v navidezno zasebno omrežje (VPN). Microsoft je o ranljivosti obvestil minuli teden in ni čakal na drugi torek v mesecu, ko je na sporedu redni mesečni paket popravkov, temveč ga je ponudil že sedaj. Posodobitev pa je treba trenutno namestiti ročno, saj jo Microsoft priporoča le tistim, ki imajo dejansko težave. Medtem pa uporabniki že poročajo o različnih težavah, ki jih prinese namestitev popravka.
Poleg hroščev pa so tu še ranljivosti. Priljubljena aplikacija za spletne videokonference Zoom, ki ima tudi pri nas sedaj veliko uporabnikov, ni tako varna, kot se predstavlja. Čeprav se oglašujejo kot platforma, ki ponuja šifriranje podatkov od pošiljatelja do prejemnika (end-to-end), The Intercept ugotavlja, da je izvedba manj varna. V resnici za avdio in video podatke aplikacija uporablja šifriranje podatkov v prenosu (transport encryption), kar je manj varno. Zoom uporablja šifriranje TLS (enako kot spletne strani na HTTPS), kar pomeni, da lahko Zoom dešifrira vsebino. Pri pravi end-to-end enkripciji to ne bi bilo možno. Ne more pa vsebini prisluškovati zlonamerni akter na omrežju ali internetu, to drži.
Signal je primer aplikacije, ki omogoča tovrstno end-to-end šifriranje, ko je vsebina dostopna samo sodelujočih v komunikaciji. V Zoomu je na tak način šifrirano tekstovno komuniciranje. Ob tem The Intercept izpostavlja tudi, da Zoom ne objavlja poročila o transparentnosti (kot na primer GOogle ali Facebook), kjer bi objavili, koliko zahtevkov organov pregona po izročitvi podatkov dobijo in koliko jih izpolnijo. Lahko pa poslovni uporabniki uporabijo Zoomo Meeting Connector, kjer sicer spet ni end-to-end šifriranja, a vsi podatki potujejo le po internem omrežju podjetja in ne do Zooma. V Zoomu sicer pravijo, da v vseh primerih zbirajo le prometne in servisne podatke, medtem ko do vsebine zaposleni ne morejo, niti je ne prodajajo ali tržijo.