Zoom Meetings

Продукт
Разработчики: Zoom Video Communications
Дата последнего релиза: 2022/05/25
Технологии: SaaS - Программное обеспечение как услуга,  Видеоконференцсвязь,  Офисные приложения

Содержание

Основные статьи:

Zoom Meetings предоставляет возможность работать и посещать онлайн-совещания из любой точки.

Zoom Meetings позволяет:

  • Подключить виртуальный задний фон и выбрать изображение по вкусу (доступно в iPhone);
  • Включить демонстрацию экрана, а также подключиться к совместной работе;
  • Использовать Zoom Meetings в режиме безопасного вождения или Apple Carplay

В зависимости от тарифного плана Zoom позволяет собрать для звонка от 100 до 1000 участников. Сервис работает через мобильное или настольное приложение, а также в браузере. Помимо непосредственно видеозвонков, у Zoom есть целый ряд сервисов связи: чаты, виртуальные комнаты и пространства, облачная телефония, обмен сообщениями со сторонними сервисами, магазин приложений, инструменты для вебинаров (до 1000 зрителей). На сайте сервиса перечислены довольные клиенты компании, в их числе (то ли с иронией, то ли с гордостью) отмечены и владелец сервиса Viber, компания Rakuten и сервис для корпоративного общения Slack.Как зародилась масштабная коррупционная схема при внедрении ИТ в ПФР при участии «Техносерва» и «Редсис». Подробности 38.6 т

У Zoom на сегодня есть много достоинств, среди которых - массовость и огромное количество возможностей, а вместе с ними - информации о том, как пользоваться сервисом, лайфхаков и советов. В Zoom можно установить виртуальный фон `подправить свой внешний вид` с помощью соответствующей функции в настройках. Кстати, легендарное украинское креативное агентство banda недавно представила свою подборку фонов.


Максимальное количество участников: в зависимости от тарифа, до 100 человек на самом доступном, до 500 - на самом дорогом корпоративном (+ до 50 организаторов мероприятий для одного корпоративного аккаунта)

Тарифы: есть бесплатный (до 100 участников) и платные в пределах $14,99-19,99 в месяц

Продолжительность разговоров: до 40 минут на бесплатном тарифе, до 24 часов в Pro-версии ($14,99), неограничено - в бизнес-тарифах и тарифах для предприятий

2023

В ДНР блокируют Google и Zoom

В середине февраля 2023 года стало известно о блокировке сервисов Google и Zoom в Донецкой народной республике (ДНР). Также в регионе наблюдаются проблемы с загрузкой изображений и видео через Viber. Подробнее здесь.

Как хакеры атакуют компании, используя Zoom

5 января 2023 года компания Cyble Research & Intelligence Labs (CRIL) рассказала о новой киберпреступной схеме, которую злоумышленники используют для атак на различные организации. На этот раз мошенники прикрываются сервисом для видеоконференций Zoom.

Отмечается, что на фоне пандемии COVID-19, когда средства для организации удалённой работы стали особенно востребованы, киберпреступники всё чаще проводят атаки с помощью приложений вроде Zoom. В рамках новой схемы мошенники сформировали фишинговую страницу, полностью копирующую интерфейс легального веб-сайта Zoom. Эта страница применяется для распространения вредоносного программного обеспечения IcedID, также известного как BokBot.

Хакеры атакуют компании, используя Zoom
«
IcedID обычно распространяется через спам-сообщения с вредоносными вложениями под видом файлов Office. Однако в этой кампании злоумышленники использовали фишинговый веб-сайт для доставки вредоносного ПО, что не является типичным методом, — говорится в публикации.
»

При попытке загрузки приложения Zoom через фишинговый сайт пользователь получает установочный файл с трояном IcedID. После внедрения зловреда в систему злоумышленники получают возможность красть банковские учётные данные жертв. Это вредоносное ПО нацелено прежде всего на бизнес и может использоваться для хищения платёжной информации. Кроме того, IcedID действует как загрузчик, позволяя устанавливать на инфицированном компьютере дополнительные модули или другие вредоносные программы. Компания CRIL подчёркивает, что IcedID — это весьма продвинутый зловред. Злоумышленники постоянно модифицируют код трояна и тактику его распространения, чтобы избежать обнаружения защитными средствами. Какое количество пользователей пострадало в ходе этой киберкампании, не уточняется. [1]

2022

Отключение вузам доступа к платным аккаунтам видеоконференцсвязи в России

Zoom стал отключать вузам доступ к платным аккаунтам видеоконференцсвязи в России. Об этом стало известно в конце октября 2022 года.

Как пишут «Ведомости» со ссылкой на источник среди российских разработчиков сервисов видеоконференцсвязи, к его компании обратился «крупный вуз», которому «Zoom отключил лицензию, оплаченную до ноября». Названия вуза собеседник не раскрыл.

Zoom стал отключать вузам доступ к платным аккаунтам

По информации портала госзакупок, на которую ссылается издание, из крупных образовательных организаций контракт на использование Zoom до конца ноября 2022 года был заключен только у Российского государственного университета правосудия для его филиала в Казани. По данным газеты, с отказом в обслуживании со стороны Zoom столкнулись еще несколько российских вузов, среди которых — Российский государственный социальный университет и Оренбургский государственный медицинский университет.

Исполнительный директор ассоциации разработчиков программных продуктов «Отечественный софт» Ренат Лашин рассказал изданию, что государственные компании перестали пользоваться платным Zoom еще в 2021 году, а в 2022-м году от услуг сервиса стал отказываться и крупный бизнес.

«
На первый план выходит конкуренция между российскими разработчиками и технологическими классами решений, поэтому в случае ухода Zoom из России ничего страшного не случится, – рассказал Лашин.
»

К концу октября 2022 года Zoom предлагает пользователям несколько тарифных планов. Бесплатный тариф позволяет проводить конференции длительностью до 40 минут с участием до 100 человек; «профессиональный» ($149,9 за год на одного пользователя на момент публикации) снимает ограничение по времени, но не по числу участников; «бизнес» ($199,9) увеличивает лимит участников до 300; в тарифе «предприятие» число участников составляет до 1 тыс. человек, цена не указана. [2]

Уязвимость Zoom позволяет взломать жертву через сообщение

25 мая 2022 года стало известно, что cпециалисты Google рекомендуют пользователям Zoom обновить клиенты приложения до версии 5.10.0, чтобы применить исправления ряда уязвимостей, обнаруженных исследователем безопасности Google Project Zero Иваном Фратриком.

Иллюстрация: securitylab.ru
«
«Для того, чтобы атака достигла цели, даже не нужно взаимодействовать с пользователем напрямую. Злоумышленнику достаточно просто иметь возможность отправлять сообщения жертве по протоколу XMPP в чате Zoom», -

сказал Фратрик в описании цепочки уязвимостей.
»

Изучив отличия в парсинге XMPP-сообщения сервером и клиентами Zoom, Фратрик смог раскрыть цепочку уязвимостей, позволявшую злоумышленникам удаленно выполнять вредоносный код. Решив воссоздать атаку, исследователь отправил специально созданное сообщение, использовал атаку посредника, после чего смог подключить «жертву» к своему серверу, предоставляющему старую версию клиента Zoom середины 2019 года.

«
«Программа установки для этой версии все еще подписана должным образом, но не выполняет никаких проверок безопасности установочного cab-файла. Чтобы продемонстрировать принцип действия атаки, я заменил Zoom.exe в cab-файле на двоичный файл, который открывал стандартный калькулятор Windows, и сразу же после установки «обновления» увидел запустившийся калькулятор», -

добавил Фратрик.
»

В опубликованном на прошлой неделе бюллетене безопасности Zoom сообщила, что исследователь также нашел уязвимость, позволяющую отправлять cookie-файлы пользовательской сессии на домен, не принадлежащий компании. Эта уязвимость позволяла злоумышленникам проводить спуфинг-атаки.

Ниже представлен список уязвимостей, исправленных Zoom после отчета Фратрика:

  • CVE-2022-22786 – позволяет понизить версию клиента Zoom и затрагивает только пользователей Windows;
  • CVE-2022-22784;
  • CVE-2022-22785;
  • CVE-2022-22787.

Три другие уязвимости затрагивают Android, iOS, Linux, macOS и Windows.

Исследователь Google Project Zero обнаружил уязвимости в феврале, в том же месяце Zoom исправила их на стороне сервера, а 24 апреля выпустила обновленные клиенты.[3]

2021

Устранение уязвимостей, позволяющих перехватить любые данные с внутренних конференций

Positive Technologies 12 ноября 2021 года сообщила о том, что помогла устранить уязвимости в Zoom.

Злоумышленники могли перехватить любые данные с внутренних конференций и атаковать инфраструктуру компаний-пользователей.

Компания Zoom Video Communications исправила уязвимости в линейке своих локальных решений для конференций, переговоров и их записей — Zoom Meeting Connector Controller, Zoom Virtual Room Connector, Zoom Recording Connector и других. Ошибки, выявленные экспертом Positive Technologies Егором Димитренко, позволяли путем внедрения команд выполнить атаку и получить доступ к серверу с максимальными привилегиями.

Пользователями исследованного ПО, распространяемого по модели on-premise, являются, как правило, крупные компании, которые разворачивают эти решения в своей сети с целью предотвращения утечек информации.

Вредоносная инъекция была возможна из-за уязвимости CVE-2021-34414 (оценка 7,2 по шкале CVSS 3.1), обнаруженной Егором Димитренко. Проблема отмечена в следующих приложениях Zoom on-premise:

  • Meeting Connector Controller до версии 4.6.348.20201217,
  • Meeting Connector MMR до версии 4.6.348.20201217,
  • Recording Connector до версии 3.8.42.20200905,
  • Virtual Room Connector до версии 4.4.6620.20201110,

8 Virtual Room Connector Load Balancer до версии 2.5.5495.20210326.

Еще одна уязвимость (CVE-2021-34415 c оценкой 7,5 по шкале CVSS 3.0) могла привести к сбою системы. Ошибка была найдена Никитой Абрамовым в приложении Zoom On-Premise Meeting Connector Controller, а проблема устранена в версии 4.6.358.20210205. В результате эксплуатации этой уязвимости злоумышленники могли нарушить работоспособность ПО, тем самым создав ситуацию, когда проведение конференций с использованием Zoom не представлялось бы возможным.

Третья уязвимость (CVE-2021-34416 с оценкой 5,5 по шкале CVSS 3.0) также позволяла выполнить атаку с помощью внедрения команд. Недостаток, выявленный Егором Димитренко, касается следующих приложений Zoom on-premise:

  • Meeting Connector до версии 4.6.360.20210325,
  • Meeting Connector MMR до версии 4.6.360.20210325,
  • Recording Connector до версии 3.8.44.20210326,
  • Virtual Room Connector до версии 4.4.6752.20210326,
  • Virtual Room Connector Load Balancer до версии 2.5.5495.20210326.

«
Главной опасностью компрометации этих приложений и получения доступа к командной оболочке является то, что они обрабатывают трафик со всех конференций компании. Таким образом, злоумышленник может выполнять MITM-атаку и перехватывать любые данные с конференций в режиме реального времени, — рассказал Егор Димитренко. — Так как приложения данного типа могут размещаться на периметре, это позволяет внешним нарушителям выполнить произвольный код на сервере с привилегиями пользователя root, что дает возможность дальнейшего продвижения в сети компании. Для эксплуатации уязвимости атакующему требуются учетные данные любого пользователя с административными правами, например пользователя admin, который создается в приложении по умолчанию. Но в связи с тем, что приложение не придерживается строгой парольной политики и у него отсутствует защита от подбора пароля через веб-интерфейс, то получить пароль для злоумышленника не составляет труда.
»

Основными причинами появления таких уязвимостей Егор Димитренко называет отсутствие достаточной проверки пользовательских данных.

«
Часто можно встретить уязвимости такого класса в приложениях, которым делегированы задачи по администрированию сервера. Особенность данной уязвимости в том, что она всегда ведет к критическим последствиям и в большинстве случае приводит к получению полного контроля над инфраструктурой корпоративной сети, — отметил Егор Димитренко.
»

Немецким чиновникам запретили пользоваться Zoom

В августе 2021 года правительство Гамбурга получило официальное предупреждение о недопустимости использования сервиса Zoom из-за проблем с защитой данных. Агентство по защите данных (DPA) выступило с публичным предупреждением, написав в пресс-релизе, что использование канцлером Сената популярного инструмента для видеоконференций нарушает Общий регламент Европейского союза по защите данных (GDPR), поскольку данные пользователей передаются для обработки на сервера расположенные в США. Подробнее здесь.

Zoom пошел на попятную и разрешил российским властям и госкомпаниям пользоваться его связью. Но по новым правилам

Американский сервис видеоконференций Zoom, в конце марта 2021 г. запретивший российскому госсектору пользоваться его услугами, изменил свое решение. Как стало известно CNews, отечественные власти и госкомпании все-таки смогут использовать его, но на определенных условиях[4].

Компании и структуры госсектора смогут пользоваться Zoom, но для этого им придется покупать аккаунты в этом сервисе напрямую, без необходимости обращения к дистрибьюторам в России. Представитель Zoom сообщил CNews, что сервис «по-прежнему стремится обслуживать клиентов на российском рынке и в странах Содружества Независимых Государств (СНГ)» «Мы находимся в процессе развития нашего подхода в регионе, и тем временем новые и существующие клиенты как в государственном, так и в частном секторах могут отправлять запрос на приобретение учетных записей (аккаунтов) Zoom непосредственно через наш веб-сайт», – добавил он.

По данным CNews, до внедрения этих изменений российские юрлица должны были приобретать лицензии через партнеров Zoom в России или их реселлеров. Закупка лицензий через сайт сервиса была доступна только для частных лиц.

Роскомнадзор порекомендовал россиянам отказаться от Zoom

Роскомнадзор порекомендовал российским пользователям отказаться от сервиса видеоконференций Zoom и переходить на отечественные аналоги. Об этом ТАСС сообщили в пресс-службе ведомства.

«
«Использование нашими компаниями и госорганами зарубежных сервисов всегда будет нести как риски отказа в обслуживании со стороны администраций иностранных платформ, так и утечек по их вине данных наших граждан и компаний», — уверены в Роскомнадзоре.
»

Запрет продаж госучреждениям и госкомпаниям в России и СНГ

Американская компания Zoom Video Communications направила в апреле 2021 года своим российским партнёрам письмо, в котором предупредила об отзыве с 31 марта 2021 года авторизации на продажу своего сервиса видеоконференцсвязи организациям с государственным участием России, сообщает CNews.

Авторизованными партнерами Zoom для реализации лицензий являются компания RightConf (РайтКонф), Rokada (ООО «Рокада»), а также международная корпорация Unify Square.

Как известно, бесплатная версия сервиса рассчитана на частных пользователей и небольшие предприятия. Данная версия позволяет вести неограниченное число конференций «один на один», что касается групповых конференций, то их длительность ограничена 40 минутами.

В платной версии Zoom Pro отсутствует ограничение по продолжительности видеоконференции, также возможно подключение до 100 участников. Вместе с лицензией предоставляется доступ к облачному хранилищу объемом 1 ГБ для записи видео в формате MP4.

Органы государственной власти приобретали лицензию на использование Zoom редко. А вот организации с госучастием применяют сервис гораздо чаще. В частности, лицензия была куплена аэропортом «Шереметьево», структурами «Газпрома» и ВТБ, учреждениями культуры, а также высшими учебными заведениями.


Ограничения, которые вводят американские компании против России, следуя санкционной политике Вашингтона, слабо отразятся на российских пользователях, но нанесут ущерб бизнес-интересам США на мировом рынке, считает лидер партии «Справедливая Россия – За правду» Сергей Миронов.

«
«Назло нам отморозили себе уши! Или, как говорят у них на Западе, выстрелили себе в ногу. Ясно, что наши госкомпании, да и вообще граждане России могут прекрасно обойтись без этого сервиса. Его аналоги уже активно внедряются, а после таких ограничений будут внедряться еще быстрее! Нисколько не сомневаюсь в отечественных программистах и IT-специалистах, которые уже всеми миру доказали свой высокий уровень. Так что без связи и интернета мы не останемся. Идем своим курсом, развиваем импортозамещение и равноправное сотрудничество со странами, которые к нему готовы», – сказал Сергей Миронов.
»

Он отметил, что потеря части российского рынка несет не столько экономические, сколько репутационные риски для сервиса, который стал востребован и популярен по всему миру во время пандемии.

«
«Вероятно, у властей США началось головокружение от успехов. Они возомнили, что без их услуг мы обойтись не сможем, и решили нас наказать. Но это просто смешно! Мало того, что наказать нас таким способом не получится, так еще и доверие подрывают к своим компаниям, выставляя их проводниками санкционной политики. А доверие в бизнесе – это ключевая вещь. С пресловутыми соцсетями США, которые забанили своего бывшего президента, такая же история, по сути, вышла. Какая уважающая себя страна захочет после такого иметь дело с американцами, зная, что в любой момент они могут «выключить рубильник»?» – задался вопросом парламентарий.
»

Сотрудникам «Ростеха» запретили общаться в Zoom по работе

Как стало известно в марте 2021 года, сотрудникам «Ростеха» запретили общаться в Zoom, Skype и WhatsApp по работе. Вместо них предлагается использовать отечественные продукты, в том числе те, которые разработала сама госкорпорация. Подробнее здесь.

2020

Zoom внедрит сквозное шифрование в четыре этапа

Компания Zoom подтвердила, что начнет развертывать сквозное шифрование. Процесс будет проходить в три этапа: сначала будет выпущено превью, и в течение первых 30 дней пользователи будут отправлять компании свои замечания и отзывы, а затем пройдут еще три этапа. Об этом стало известно 15 октября 2020 года.

Уже довольно долго сквозное шифрование в сервисе конференцсвязи Zoom было притчей во языцех для компании. Она не раз подвергалась критике, в особенности тогда, когда объявила о намерении внедрить сквозное шифрование только для платных пользователей. Правозащитники заявили, что базовые меры по обеспечению безопасности не должны считаться премиум-функцией, и Zoom пришлось отозвать свое объявление.

Сквозное шифрование в Zoom будет базироваться на уже существующем шифровании GCM, только управление криптографическими ключами будет осуществляться не серверами компании, как раньше, а организаторами встреч, которые сами смогут генерировать ключи шифрования и использовать шифрование с открытым ключом для предоставления ключей каждому участнику встречи. Другими словами, Zoom не сможет получать доступ к ключам, необходимым для расшифровки контента видеочата, так как они будут генерироваться и храниться локально на устройствах пользователей.

Значок в виде зеленого щита в левом верхнем углу будет свидетельствовать о том, то видеозвонок защищен сквозным шифрованием. Все участники встречи смогут видеть код безопасности организатора и сверять его с кодом у себя на экранах.

Для того чтобы начать пользоваться сквозным шифрованием организаторы встречи должны активировать опцию шифрования в настройках своих учетных записей, и все участники встреч также должны включить его в своих приложениях.

Во время первого этапа определенный функционал для зашифрованных звонков будет отключен, в том числе комнаты обсуждения, облачные записи, опрос, перевод в режиме реального времени, чаты один на один и реакции.

Начало первого этапа внедрения сквозного шифрования запланировано на вторую половину октября 2020 года. Когда Zoom намерена внедрять остальные три этапа, неизвестно, однако, по словам компании, второй этап начнется «ориентировочно в 2021 году»[5].

Как в России крадут деньги у пользователей Zoom

6 октября 2020 года стало известно о новой мошеннической схеме, направленной на пользователей сервиса видеоконференций Zoom. О киберугрозе рассказали в компании Group-IB.

Суть аферы заключается в том, что под видом получения денежной компенсации «в связи с COVID-2019» или за подписку на сервис, пользователей Zoom заманивают на мошеннические сайты, где похищают деньги и данные банковских карт.

Group-IB обнаружила новую схему кражи денег у пользователей Zoom

При этом письма отправляются не с фейкового домена, а от официального сервиса. Все дело в том, что при регистрации Zoom предлагает пользователю заполнить профиль – указать «Имя» и «Фамилию», предоставляя возможность вставить до 64 символов в каждое поле. Мошенники используют эту возможность, вставляя фразу: «Вам положена компенсация в связи с COVID-19» и указывают ссылку на мошеннический сайт.

Сама рассылка мошеннических сообщений также происходит с использованием возможности сервиса. После регистрации Zoom предлагает новому клиенту пригласить до десяти новых пользователей, указав их почтовый адрес. Мошенники вводят адреса потенциальных жертв, которым приходит официальное уведомление от имени команды сервиса видеоконференций (no-reply@zoom[.]us), но с содержанием, которое сгенерировали интернет-аферисты.

После того, как жертва переходит на мошеннические сайты, ей предлагают ввести 4 или 6 последних цифр номера ее банковской карты. Мошенники рассчитывают«компенсацию» для пользователя: от 30 000 до 250 000 рублей. Но для того, чтобы получить эти деньги, жертва должна была оплатить небольшую сумму «за юридическую помощь в заполнении анкеты» — около 1000 рублей. В результате пользователи вводят данные «пластика» (номер, имя владельца, срок действия, CVV-код) на мошенническом ресурсе — в результате теряют и деньги, и данные банковской карты.[6]

Интеграция с Pyrus Service Desk

В 2020 году Pyrus Service Desk стала доступна интеграция с сервисом видеоконференций Zoom Meetings: пользователи могут запускать видеозвонки с коллегами или клиентами в Zoom одним кликом со страниц задач в Pyrus. Подробнее здесь.

Возможность размещения сервисов Zoom на платформе "Яндекс.Облака"

10 августа 2020 года "Яндекс.Облако" и компания RightConf, официальный представитель сервиса Zoom в России, сообщили о начале совместного предоставления услуг корпоративным клиентам. Теперь компании, которые приобретают лицензию у компании RightConf для использования Zoom, также могут выбрать размещение серверов на платформе "Яндекс.Облака". В таком случае весь трафик пользователей будет обрабатываться в России, это повысит безопасность и качество связи.

Zoom работает через серверы, расположенные в Европе, и максимальное качество видео не превышает 640x360 точек. На серверах Zoom в "Яндекс.Облаке" доступно HD-качество изображения, то есть минимум 1280х720 точек, с возможностью повышения разрешения до 1920х1080. При запуске Zoom на платформе "Яндекс.Облака" время обмена информацией с сервером для российских пользователей уменьшится в 5-7 раз, соответственно вырастет качество связи, станет меньше искажений и задержек звука и видео. Подробнее здесь.

Выявление уязвимости в Zoom Vanity URL, которая позволяла хакерами манипулировать ссылками на идентификаторы собраний

Команда исследователей Check Point Research, подразделения поставщика решений в области кибербезопасности Check Point Software Technologies Ltd., помогла Zoom снизить риски, связанные с потенциальной проблемой безопасности в функции Zoom Vanity URLs. Функция позволяла хакерам отправлять приглашения на деловые встречи Zoom, которые выглядели как исходящие от компании-жертвы. Целью хакеров было распространение вредоносных программ и кража данных пользователей, сообщили в Check Point 16 июля 2020 года.

Vanity URL – URL-адрес конкретной компании, выглядит как yourcompany.zoom.us. Компания может пометить эту страницу логотипом или фирменными знаками. Чтобы присоединиться к собранию, пользователям нужно просто перейти по ссылке.

При использовании проблемы с Vanity URL, хакер мог выдать себя за сотрудника компании-жертвы, отправить приглашение с Vanity URL компании-жертвы клиентам этой компании, чтобы завоевать их доверие, а затем просто перехватить учетные данные и конфиденциальную информацию или совершить другие нужные ему действия.

Потенциальные проблемы безопасности Vanity URL были обнаружены исследователями в ходе совместной работы в январе 2019 года. Эта проблема могла позволить хакеру попытаться манипулировать Vanity URL двумя способами:

  • Таргетинг по прямым ссылкам: при организации собрания хакер мог изменить URL-адрес приглашения, чтобы включить зарегистрированный поддомен по своему выбору. Другими словами, если исходная ссылка была https://zoom.us/j/##########, злоумышленник может изменить ее на https: // <название организации> .zoom.us / j. / ##########. Без специальных знаний по кибербезопасности, пользователь, получающий это приглашение, мог не распознать, фейковое или это приглашение или же оно было создано что реальной организацией.
  • Нацеленность на фирменные веб-интерфейсы Zoom: некоторые организации имеют собственный веб-интерфейс Zoom для конференций. Хакер мог настроить интерфейс компании-жертвы и мог попытаться перенаправить пользователя на вредоносную ссылку. Как и в предыдущем случае, без специальных знаний жертва могла не распознать сразу фейковую ссылку.

Как известно, использование Zoom возросло во время карантина и режима самоизоляции из-за пандемии COVID-19. Если в декабре 2019 года количество ежедневных участников Zoom было около 10 миллионов, то в апреле 2020 года их было более 300 миллионов. Киберпреступники используют эту популярность в фишинговых атаках. Например, согласно исследованиям Check Point, значительно увеличилось количество как зарегистрированных доменов с Zoom, так и фейковых программ Zoom.

Ранее в январе 2019 года команда Check Point Research уже работала с Zoom, чтобы устранить другую потенциальную уязвимость, которая могла позволить хакерам присоединиться к собранию без приглашения.

Интеграция с платформой для организации рабочих процессов Pyrus

Платформа для организации рабочих процессов Pyrus объявила об интеграции в сервис платформы для видеоконференций Zoom. Интеграция будет доступна всем пользователям вне зависимости от тарифного плана. Об этом стало известно 26 июня 2020 года. Подробнее здесь.

Доступность сквозного шифрования для всех пользователей

18 июня 2020 года стало известно о том, что сквозное шифрование в Zoom будет доступно для всех пользователей.

Zoom. Фото: independent.co.uk.

Как сообщалось, после критики со стороны активистов и пользователей по поводу решения Zoom обеспечить сквозное шифрование только для платных пользователей, представители компании сообщили о намерении сделать его доступным для всех пользователей, в том числе бесплатных.

В начале июня 2020 года компания начала работу над внедрением в сервис сквозного шифрования, но доступ к услуге планировалось предоставлять только пользователям платной версии Zoom. Вскоре организация Mozilla Foundation и Фонд электронных рубежей (Electronic Frontier Foundation, EFF) совместно с 19 тыс. пользователей направили открытое письмо компании, призывая ее не превращать «безопасность и конфиденциальность в роскошь». Организации по защите цифровых прав, такие как Fight for the future и MPower Change, также выразили аналогичные опасения в своем письме.

«
После того, как мы выпустили черновой вариант сквозного шифрования Zoom (E2EE), мы сотрудничали с организациями по гражданским правам, советом CISO, защитниками безопасности детей, экспертами по шифрованию, представителями правительства, нашими пользователями и другими, чтобы собрать их отзывы об этой функции. Мы также исследовали обновленные технологии и готовы предложить E2EE для всех пользователей.

сообщил Эрик Юань (Eric Yuan), генеральный директор Zoom
»

Как отметили представители компании, бесплатные пользователи должны будут подтвердить свою учетную запись по номеру телефона. Данная мера поможет в борьбе со злоумышленниками, которые создают множественные учетные записи.

Шифрование имеет определенные ограничения: если оно включено, участники с традиционными телефонными линиями PSTN не смогут присоединиться к беседе. Поскольку оно является необязательной функцией, пользователь сможет вручную включить или выключить шифрование.

Ранее ИБ-эксперты в ходе исследования сервиса обнаружили множественные проблемы с безопасностью, одна из которых была связана с шифрованием. Например, Zoom отправлял ключи шифрования на сервер в Китае, где они, согласно закону страны, могли быть затребованы китайскими властями. Кроме того, разработчики приложения неоднозначно толковали термин «сквозное» шифрование, чем вводили пользователей в заблуждение[7].

Интеграция с Genesys Cloud

28 мая 2020 года компания Genesys объявила о своем партнерстве с корпорацией Zoom Video Communications. Цель проекта — упростить и повысить эффективность взаимодействия корпоративных команд. Благодаря интеграции инфраструктуры Genesys Cloud с Zoom Phone и Zoom Meetings, организации смогут в полной мере реализовать стратегии корпоративных коммуникаций и повысить эффективность совместной работы. Подробнее здесь.

Запрет в правительстве Индонезии

23 апреля 2020 года стало известно о запрете на использование Zoom в правительстве Индонезии. В местном министерстве обороны увидели в этом сервисе риски для перехвата содержания разговоров. Подробнее здесь.

Две ранее неизвестные уязвимости в Zoom выставлены на продажу

На киберпреступном форуме выставлены на продажу два эксплоита для неисправленных уязвимостей в Zoom, позволяющих подглядывать за чужими видеозвонками. По данным нескольких источников издания Motherboard, один эксплоит предназначен для уязвимости в клиенте Zoom для Windows, а другой – для macOS. Об этом стало известно 16 апреля 2020 года.

«
Не думаю, что у них будет продолжительный срок годности, поскольку, когда уязвимости нулевого дня начинают использоваться, о них становится известно,
отметил Адриел Десаутелс (Adriel Desautels), основатель компании Netragard, ранее занимавшейся продажей уязвимостей нулевого дня
»

По словам еще одного источника, уязвимость в Windows-клиенте Zoom позволяет удаленно выполнить код на атакуемой системе и является «идеальной для промышленного шпионажа». С ее помощью злоумышленник может получить доступ к уязвимому клиенту Zoom, однако для получения контроля над всей системой ее нужно проэксплуатировать в связке с еще одним багом. Уязвимость в macOS не позволяет удаленно выполнить код.

Эксплоит для Windows-клиента Zoom стоит $500 тыс., однако, по словам источников, цена завышена как минимум в два раза. Воспользоваться эксплоитом можно только во время видеозвонка с жертвой. Другими словами, оставаться незамеченным атакующему не удастся, что существенно снижает интерес к эксплоиту со стороны спецслужб.

«
Zoom со всей серьезностью относится к безопасности своих пользователей. Узнав о слухах, мы непрерывно работаем с надежной ИБ-компанией, являющейся одним из лидеров на рынке, для их расследования. На апрель 2020 года мы не обнаружили никаких фактов, подтверждающих достоверность этих заявлений,
сообщили представители Zoom[8]
»

Выявлено 1,3 тыс. вредоносных программ с названием сервисов видеоконференций

В середине апреля 2020 года «Лаборатория Касперского» сообщила о выявлении около 1,3 тыс. вредоносных программ, которые маскируются под популярные сервисы для видеоконференций, включая Zoom, Webex и Slack. Подробнее здесь.

Ларри Эллисон: Zoom стал жизненно важным сервисом для Oracle

В апреле 2020 года на фоне многочисленных претензий к безопасности Zoom основатель и председатель совета директоров Oracle Ларри Эллисон высоко оценил данный сервис видеоконференцсвязи.

«
Zoom стал для нас незаменимым сервисом. Он позволяет нам продолжать разработки, он позволяет продолжать оказание поддержки нашим клиентам, продолжать заниматься продажами — даже когда мы находимся дома, — сказал Эллисон в опубликованном на YouTube видео. — Мы ждем, когда экономика оживится, когда мы сможем вернуться к работе в полной мере, но мы больше никогда не будем работать так же, как раньше. Мы будем теперь встречаться не только в живую: иногда мы будем встречаться в живую, а иногда — виртуально в Zoom.
»

На фоне многочисленных претензий к безопасности Zoom основатель и председатель совета директоров Oracle Ларри Эллисон высоко оценил данный сервис видеоконференцсвязи
«
Zoom стал неотъемлемым инструментом для Oracle, для компаний в США, для компаний во всем мире. Сервис помогает экономике продолжать функционировать, не смотря на пандемию COVID-19, — добавил он в своем 50-секундном видеообращении.
»

После этого компании обменялись любезностями в Twitter: Zoom поблагодарил Эллисона за «столь содержательное видео», а глава Oracle на этот твит ответил своим: «Спасибо тебе, Zoom, за то, что помогаешь оставаться нам на связи. Ты изменил нашу работу!»

Ларри Эллисон похвалил Zoom, несмотря на недавние сбои в работе сервиса — в марте 2020 года часть пользователей пожаловалась на проблемы с входом и организацией конференций. Это произошло из-за того, что компания не была готова к резкому росту количества активных пользователей в день: в сравнении год к году оно увеличилось на 151%. Причиной столь резкого увеличения стал тот факт, что многие сотрудники стали переходить в онлайн после того, как был объявлен карантин.

Стоит добавить, что Zoom работает на базе облачной инфраструктуры Amazon Web Services и Oracle.[9]

Первый крупный банк отказался от Zoom

В апреле 2020 года стало известно, что Standard Chartered стала первой крупной на международном рынке финансовой организацией, которая рекомендовала всем своим сотрудникам в период пандемии COVID-19 воздержаться от использования решения для видеоконференций Zoom на рабочих местах. Подробнее здесь.

Данные 500 тыс. пользователей Zoom оказались в продаже в даркнете

В начале апреля 2020 года стало известно о появлении в даркнете данных более 500 тыс. учетных записей Zoom, которые были выставлены на продажу. Эти данные содержат адреса электронной почты, пароли, URL-адреса для организации закрытых встреч, а также идентификаторы персональной конференции (цифровой код, который используется в определенных случаях).

Опубликованные данные позволяют хакерам «зумбордировать» — это форма троллинга, при которой злоумышленник помещает в чужие видеоконференции Zoom произвольный контент, чаще оскорбительного характера. За последнее время под прицелом троллей оказались виртуальная синагога, женское сообщество и клуб анонимных алкоголиков.

Стало известно о появлении в даркнете данных более 500 тыс. учетных записей Zoom, которые были выставлены на продажу

Так, при атаке на клуб анонимных алкоголиков злоумышленники вставили в видеовстречу закадровый голос со словами: «Выпивка — это так прекрасно», а при атаке на синагогу — оскорбительные антисемитские высказывания.

Компания Cyble, специализирующаяся на кибербезопасности, сообщила, что ей удалось договориться с хакерами о приобретении данных приблизительно 530 тыс. аккаунтов по цене $0,002 за один аккаунт ($1,6 тыс. за всю базу). Многие учетные записи принадлежат организациями, включая Citibank, Chase и различные учебные заведения. При этом, как выяснилось, на некоторых форумах часть украденных данных предлагалась и вовсе бесплатно.

Это не означает, что Zoom был взломан — хотя в начале 2020 года, после резкого роста популярности сервиса вследствие введенных во многих странах карантинов, к его безопасности было высказано множество претензий. По словам экспертов, для взлома аккаунтов хакеры воспользовались ранее украдененными учетными данными в других сервисах. Согласно статистике, логины и пароли, добытые в ходе проведения хакерских атак на одни сервисы, в 0,1% случаях подходят на других сайтах. [10]

Запрет на проведение школьных уроков через Zoom в Сингапуре

В начале апреля 2020 года Сингапур запретил проводить школьные уроки через Zoom после серии «очень серьезных инцидентов» в первую же неделю коронавирусного карантина. Подробнее здесь.

Судам на Украине разрешили проводить заседания в Zoom

10 апреля 2020 года стало известно о том, что украинским судам разрешили проводить заседания по видеосвязи, в том числе с использованием сервиса Zoom. Это новшество было принято после введения карантина и транспортных ограничений в стране. Подробнее здесь.

Приложение Zoom заблокировали на рабочих компьютерах Google

8 апреля 2020 года Google сообщила о блокировке сервиса для видеоконференций Zoom на компьютерах всех сотрудников компании и объяснила своё решение опасениями за безопасность данных.

«
Недавно наша служба безопасности уведомила работников, пользующихся Zoom Desktop Client, что программа больше не будет работать на корпоративных компьютерах, поскольку она не соответствует нашим стандартам безопасности для приложений, с которыми работают наши служащие, — цитирует Reuters представителя Google Хосе Кастанеду (Jose Castaneda).
»

Google заблокировала Zoom на рабочих компьютерах всех сотрудников

В Google отметили, что компания против того, чтобы сотрудники использовали для работы приложения, которые не являются частью экосистемы Google. У компании есть собственный сервис для видеозвонков Meet, который конкурирует с Zoom.

Сотрудники Google не могут общаться в приложении Zoom, устанавливаемом на рабочих компьютерах, но могут и дальше пользоваться его мобильной или веб-версиями.

Google пополнила список компаний и госучреждений, отказавшись от использования приложения Zoom, которое стало популярным во время карантина из-за коронавируса COVID-19. Zoom используют как для виртуальных посиделок за коктейлями или кофе до корпоративных встреч и дистанционного обучения. В марте 2020 года суточная аудитория сервиса перевалила за 200 млн человек.

Власти Тайваня первыми на государственном уровне запретили учреждениям использовать Zoom. После выхода этого распоряжения министерство образования страны ввело запрет на использование Zoom в школах. Ожидается, что примеру Тайваня могут последовать и правительства других стран.

Министерство иностранных дел Германии во внутреннем циркуляре для сотрудников ограничило использование приложения Zoom для видеоконференций, объясняя такое решение наличием у него проблем с безопасностью и защитой данных, которые делают его использование рискованным.[11]

Школы Нью-Йорка отказалась от ВКС-сервиса Zoom из-за опасения слива данных

В начале апреля 2020 года школы Нью-Йорка отказались от использования сервиса Zoom для дистанционного обучения из-за проблем безопасности службы видеоконференций. Вместо этого школы перейдут на сервисы Microsoft. Подробнее здесь.

В составе пакета "Удаленка" от "Тинькофф Мобайла"

7 апреля 2020 года Тинькофф Мобайл запустил пакетное предложение «Удаленка» с безлимитным трафиком для приложений удаленной работы — онлайн-сервисов для рабочей коммуникации Zoom, Slack, Microsoft Teams, Skype, а также сервиса для управления проектами Trello. Подробнее здесь.

Тестирование DeviceLock DLP при использовании ВКС Zoom и мессенджера Skype

30 марта 2020 года стало известно, что компания DeviceLock - российский разработчик системы борьбы с утечками данных DeviceLock DLP, провел дополнительное тестирование своего решения при использовании сервисов видеоконференции Zoom и мессенджера Skype. Подробнее здесь.

Возможность создать ссылку-приглашение из CRM-cистемы Microsoft Dynamics 365 с помощью Korus CRM Messengers

27 марта 2020 года ГК «Корус Консалтинг» сообщила, что теперь пользователи Microsoft Dynamics 365 могут прямо из интерфейса CRM-системы создать ссылку-приглашение на видеовстречу в Zoom и отправить его в почту или в любой удобный участникам мессенджер с помощью модуля KORUS CRM - Messengers. Подробнее здесь.

Как безопасно пользоваться Zoom? Советы Check Point

Из-за пандемии COVID-19 все больше людей остаются дома, а не идут на работу или встречаются с друзьями. До 50% сотрудников во всем мире теперь могут работать удаленно. Платформы онлайн-коммуникаций стали необходимыми для личного и делового взаимодействия с остальным миром. Одной из самых популярных таких платформ является Zoom – она имеет около 20% мирового рынка.

Как и с любой популярной технологией, наряду с очевидными преимуществами есть и риски. В начале 2020 года команда Check Point Research уже сообщала о неправомерном использовании приложения, когда сторонние лица могли прослушивать другие личные встречи и разговоры. Это могло привести к утечке личных данных или корпоративному шпионажу.

Как можно безопасно пользоваться преимуществами Zoom? 26 марта 2020 года команда Check Point рассказала о некоторых рекомендациях:

1. Вовремя устанавливайте обновления

Для обеспечения безопасности программное обеспечение Zoom должно часто обновляться. Обновления, которые технические компании предлагают для своих продуктов, не только добавляют новые опции и функции, но также устраняют ошибки и обнаруженные нарушения безопасности, например такие, как возможность находить и прослушивать встречи. Важно понимать, что использование злоумышленниками уязвимостей устраняется не после того, как компания выпускает обновление, а только после того, как пользователи устанавливают его на конкретное устройство. Пользователи, которые не обновили программное обеспечение, остаются уязвимыми.

2. Используйте пароль для входа

Эксперты Check Point исследовали конференции Zoom и показали, что злоумышленники могут угадать номера, назначенные URL-адресам конференции Zoom, и проникнуть в них. Нарушение произошло в разговорах, где не было установлено никаких паролей. Zoom устранил брешь в системе безопасности и принял рекомендации Check Point. Все запланированные встречи автоматически защищены паролем. Требование предоставить пароль перед входом в конференцию, помимо отображения номера вызова, обеспечивает достаточную безопасность. Для того, чтобы быть полностью защищенным, необходимо обратить внимание на то, как мы приглашаем различных участников на встречу.

Наряду с безопасным методом, который включает отправку идентификатора вызывающего абонента и пароля для вызова, есть и менее безопасный вариант. Это опция использует кнопку «Пригласить» в нижней части экрана, затем «Копировать URL» или «Копировать приглашение», чтобы отправить кому-либо, кого вы хотите присоединить к вызову. Поскольку для этой ссылки не требуется ввод пароля, обратите внимание на то, кому и как он предоставляется. Любой, у кого есть ссылка, может войти в вызов, не показывая идентификационный номер или не вводя пароль. Также рекомендуется подключиться к Zoom через SSO (единый вход), если у вашей компании есть возможность сделать это.

Другим способом контроля тех, кто входит в беседу, является опция «Комната ожидания». Администратор звонка создает «Комнату ожидания», через которую участники могут присоединиться, но только после того, как администратор подтверждает их. Это можно сделать в раскрывающемся меню «Дополнительные параметры», если вы хотите запланировать вызов.

3. Управляйте правами участников звонка

Даже если вы решили использовать менее безопасный вариант обмена ссылками, вы можете запретить участникам показывать неприемлемый контент, ограничивая использование камеры участниками. Администратор беседы может решить, кто может использовать камеру и микрофон, нажав «Управление участниками».

4. Помните: что происходит в Zoom, не остается только в Zoom

Zoom позволяет записывать видеозвонки и экспортировать их как видеофайлы, как только звонок закончится. Это очень полезный инструмент, если вы хотите поделиться информацией с теми, кто не присутствовал на собрании. Проблема безопасности, возникающая при использовании этого инструмента, не требует пояснений: поскольку участники беседы могут экспортировать записанный файл, он может попасть в руки злоумышленников.

Если вы обсуждаете конфиденциальную информацию, администратор может решить, кто из участников может записывать вызов. Это можно сделать через окно управления участниками - нажать «Разрешить запись».

Также обратите внимание, что участник всегда может записать разговор, используя внешнее программное обеспечение для записи экрана. Всегда помните, что вас могут записать.

После звонка, если вы записывали его, убедитесь, что вы не загружаете его на общую платформу, например, в облако обмена информацией, которое открыто для других сторон.

Платформа Zoom предлагает множество преимуществ для тех, кто должен работать из дома. Но, как и в случае с любым другим инструментом, важно осознавать возможные риски и использовать функции, доступные вам на платформе, для безопасного общения.

Совместимость с TrueConf Server

22 января 2020 года компания TrueConf сообщила о достижении совместимости отечественной ВКС-системы TrueConf Server с популярными облачными платформами веб-конференций — Zoom, Cisco WebEx, BlueJeans Meetings и LifeSize Cloud. Интеграция позволит пользователям TrueConf подключаться к веб-конференциям на зарубежных сервисах в два клика прямо из клиентских приложений TrueConf. Подробнее здесь

2019

Уязвимость, позволяющая подслушивать чужие разговоры

2 октября 2019 года стало известно, что WebEx и Zoom подвержены атаке перечисления (user enumeration) Prying-Eye. Подробнее здесь.

Интеграция с ISpring Learn

11 июля 2019 года стало известно, что iSpring - компания по разработке приложений и сервисов для дистанционного обучения - объявила о выпуске интеграции СДО iSpring Learn с сервисом вебинаров – Zoom Meetings. Подробнее здесь.

Описание Zoom Meetings

Zoom Meetings позволяет:

  • Подключить виртуальный задний фон и выбрать изображение по вкусу (доступно в iPhone);
  • Включить демонстрацию экрана, а также подключиться к совместной работе;
  • Использовать Zoom Meetings в режиме безопасного вождения или Apple Carplay

Особенности:

  • HD-видео и -аудио
    • Высокий уровень качества видео и аудио для совещаний с поддержкой до 1000 участников и 49 экранов

  • Безопасное соединение

    • Сквозное шифрование для всех собраний, защита пользователей, комнаты ожидания и удержание посетителей

  • Современный планировщик

  • Записи встреч

    • Возможность записывать свои встречи на локальный носитель или облако, организовать базу для поиска записей

  • Мессенджер для бизнеса

    • Групповой чат, поиск по истории, встроенный обмен файлами, 10-летний архив.

  • Инструменты совместной работы

    • Несколько участников могут совместно использовать свои экраны одновременно и совместно комментировать их для более интерактивной встречи

Zoom Cloud Meetings синхронизируется с календарем и обеспечивает качественную связь с настольных компьютеров и портативных устройств.

Бизнес-чат Zoom

Встроенный постоянный обмен мгновенными сообщениями упрощает совместное использование рабочего пространства как на десктопной версии, так и на мобильной. Создание общих и приватный рабочих групп, обмен файлами, скриншотами, а также удобный поиск по базе вложений.

Администрирование и контроль

Централизованное ИТ-управление и удаленная техподдержка упрощает процесс разработки и поддержки. Есть возможность отслеживать динамику и собирать статистику, управлять уровнями доступов для учетной записи, группы, а также уровнем пользователя.

Примечания



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) СМ. ТАКЖЕ (129)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год