Следующая новость
Предыдущая новость

Mozilla изучила безопасность приложений для видеозвонков

01.05.2020 2:32
Mozilla изучила безопасность приложений для видеозвонков

Рекомендуем почитать:

Xakep #252. Чемоданчик хакера

  • Содержание выпуска
  • Подписка на «Хакер»

На этой неделе, в рамках проекта *Privacy Not Included («Конфиденциальность в комплект не входит»), инженеры Mozilla изучили 15 платформ и приложений для организации видеоконференций и видеозвонков.

В условиях нынешней пандемии COVID-19, из-за которой многие вынуждены работать из дома, видеоконференции и видеозвонки стали важным средством поддержания связи между людьми, помогающим наладить совместную работу и увеличить ее эффективность. Из-за этого интерес к рынку платформ и приложений для организации видеосвязи многократно возрос, и эксперты Mozilla решили, что сейчас самое время создать гайд, который поможет понять, какие продукты наиболее надежны и безопасны.

Аналитики организации изучили 15 популярных решений в области видеосвязи и пришли к выводу, что 12 из 15 ­продуктов соответствуют минимальным стандартам безопасности организации. Это Zoom, Google Hangouts, Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting и Cisco WebEx. Впрочем, инженеры Mozilla отмечают, что это еще не значит, что эти решения полностью безопасны и их использование не несет никаких рисков.

Соответствие минимальным стандартам безопасности означает, что приложения используют шифрование, имеют автоматическую систему обновления, используют надежные пароли, имеют собственную программу bug bounty, с их разработчиками можно без труда связаться и сообщать о проблеме, а политика конфиденциальности доступна не вызывает вопросов.

Лишь три приложения из изученных были признаны несоответствующими стандартам Mozilla, это Houseparty, Discord и Doxy.me. Проблема Houseparty и Discord заключалась в том, что они позволяли пользователям использовать откровенно плохие пароли, такие как «12345» или «111111», тем самым подвергая опасности их учетные записи. Уже после публикации отчета разработчики Discord спешно исправили этот недостаток, и теперь приложение тоже соответствует всем нормам.

Приложение для телемедицины Doxy.me, в свою очередь, имеет куда больше проблем. Так, оно тоже не требует надежных паролей при настройке учетной записи, а также не поддерживает двухфакторную аутентификацию. Хуже того, пациентам, в сущности, вообще не нужно доказывать, что они являются именно теми, за кого себя выдают.

Впрочем, есть и хорошие новости. Например, все рассмотренные экспертами приложения предупреждают пользователей, если ведется запись. Также большинство приложений предоставляют хостам возможность устанавливать правила. Все приложения используют ту или иную форму шифрования, хотя речь далеко не всегда идет об end-to-end.

«Неясно, использует ли Facebook Messenger метаданные (например, данные о том, с кем вы общаетесь) для таргетированной рекламы. Houseparty вообще кажется пылесосом для персональных данных (хотя здорово, что их политика конфиденциальности четко оповещает об этом пользователей). А Discord собирает информацию о ваших контактах, если вы связываете с ним свои учетные записи в социальных сетях», — пишут авторы отчета.

Как бы то ни было, абсолютно идеального софта не существует, а исследование Mozilla определенно поможет пользователям и организациям в выборе, ведь для кого-то во главе угла стоят безопасность и конфиденциальность, а для других может быть важнее более широкий спектр функций.

Источник

Последние новости