my space

Zoom และปัญหา security (end to end encryption, ส่งข้อมูลให้ facebook, zoombombing, geo-fencing)

security

April 04, 2020

ช่วงนี้ covid-19 ระบาดหนักและมีการรณรงค์ social distancing กันทั่วโลก App ที่มาแรงมากเลยกลายเป็น app video conf ชื่อ Zoom พอถูกสนใจเยอะ ปัญหา security ที่เคยเก็บไว้ก็ถูกเปิดเผยออกมามากขึ้นเรื่อยๆ blog นี้เลยพยายามรวบรวมข้อมูลในเรื่องนี้ในช่วงเวลานี้ไว้

ปัญหาที่มีการ report ออกมา

  • End to end encryption
  • ส่งข้อมูลให้ facebook แบบไม่เปิดเผย
  • Zoombombing
  • Geo fencing

End to end encryption

ตามเนื้อข่าวคือ Zoom claim ว่าตัวเองทำ end to end encryption ซึ่งหมายถึงจะมีแค่คนที่คุยกันเท่านั้นที่จะเห็นข้อความกัน แม้แต่ zoom เองก็จะต้องไม่สามารถอ่านข้อมูลนั้นได้ (นึกภาพคล้ายๆ seal message ของ LINE ที่มีแค่คนรับกับคนอ่านที่อ่านข้อความได้) แต่ข้อมูลที่ถูกเปิดเผยออกมานั้นระบุว่า Zoom ใช้การเข้ารหัสแบบ TLS ที่ใช้ใน HTTPS ทั่วไปเท่านั้น ซึ่งในจุดนี้ Zoom ออกมาให้ข้อมูลอีกว่าพยายามจะ encrypt ตลอดทั้ง Zoom client ถึง Zoom client ถ้า meeting นั้นไม่ได้มีการ record Zoom client ถึง Zoom client น่าจะหมายถึงเรากับคนที่เราคุย แต่ถ้ามีการ record Zoom client นึงน่าจะเป็น Zoom server นั่นเอง นั่นก็หมายความว่า Zoom เข้าถึงข้อมูลที่เรา record ใน meeting ได้

ในเรื่องนี้ Zoom ก็ออกมาให้ความเห็นผ่านทาง blog และ ประกาศหยุดพัฒนา feature ใหม่ๆ 90 วันเพื่อจัดการกับปัญหาและความโปร่งใสในการเข้าถึงข้อมูลให้มากขึ้น

ส่งข้อมูลให้ facebook แบบไม่เปิดเผย

Motherboard ออกมารายงานว่า Zoom มีการส่งข้อมูลให้กับ facebook โดยที่ไม่ได้บอกผู้ใช้บน iOS (ปกติจะต้องแจ้งไว้ใน privacy policy) โดยในรายละเอียดนั้น Zoom ได้ออกมาให้ข้อมูลว่า Zoom มีการใช้ Facebook SDK ในการพัฒนา โดยตัว SDK นี้เองที่คอยส่งข้อมูลต่างๆกลับไปให้ facebook ข้อมูลที่ถูกส่งไปจะเช่น ใช้ OS อะไร, version ไหน, timezone ไหน, มือถือรุ่นอะไร, ใช้เครือข่ายอะไร, หน้าจอขนาดเท่าไหร่, มี cpu กี่ core, ความจุของเครื่องเป็นเท่าไหร่, Unique advertiser identifier เพื่อให้ facebook สามารถใช้ข้อมูลนี้ target ads ให้กับ user ได้

ทั้งนี้ Zoom ก็ออกมาขอโทษและรีบแก้ไข โดยออก fix มาในวันศุกร์ที่ 27 มีนา และ Motherboard ที่รายงานปัญหาก่อนหน้านี้ก็ได้ตรวจสอบและพบว่าไม่ได้มีการส่งข้อมูลแล้ว (Zoom claim ว่าเอา Facebook SDK นั้นออก)

Facebook เองมีนโยบายที่เขียนไว้ว่าหาก App ไหนติดตั้ง pixels หรือ Facebook SDK ต้องทำการบอก user ด้วยว่าจะมีการดึงข้อมูลอะไรไป ซึ่ง Zoom พลาดในจุดนี้ และเหมือนจะโดนฟ้องอยู่ด้วย

Zoombombing

ปัญหาคือช่วงนี้คนใช้ Zoom เยอะ มีการใช้งานแบบ public เยอะ และบาง meeting ก็เปิดให้ใครเข้าไปก็ได้ เลยเกิดปัญหาว่าจู่ๆมีใครไม่รู้ก็เข้ามาใน meeting และเปิดภาพแปลกๆ หรือพูดจาไม่ดี เรื่องนี้ถึงขนาดที่ Boston FBI ต้องออกมาเตือนและให้คำแนะนำ และทาง Zoom เองก็มีการให้คำแนะนำในเรื่องนี้ไว้เช่นกัน

คำแนะนำรวมๆแล้วมีประมาณนี้

  • ถ้าต้องจัด meeting แบบ public มาก (เช่นสร้าง event แล้วแชร์ event นั้นบน social media) ให้หลีกเลี่ยงการใช้ Personal Meeting ID (PMI) ควรสร้าง unique meeting ID เวลาจัด event แบบนี้
  • ถ้าต้องจัด meeting แบบ extremely public (แบบ bullet ข้างบน) ควรตั้งค่า Waiting room ไว้ (ไม่ควรให้ใครก็กดแล้วเข้ามาใน conf ได้เลย ควรให้มีคนคอย Admit เพื่อ join — ตั้งค่านี้ใน Meeting Options)
  • ถ้าเป็นไปได้ก็ให้เฉพาะ host share screen ได้คนเดียว (ยกเว้นเรารู้อยู่แล้วว่ามีใคร join มาบ้าง และแต่ละคนรู้หน้าที่ตัวเอง —- คนที่จะ join ควรจะถูก filter ด้วย waiting room, meeting password, meeting link มาก่อนแล้ว)
  • Update Zoom version บ่อยๆ โดยเฉพาะ patch ที่แก้เรื่อง security

Geo Fencing

U Toronto รายงานว่ามี connection บางอย่างวิ่งเข้าไปใน Zoom server ในประเทศจีน ซึ่งปกติแล้วไม่ควรจะเข้าไปได้ Zoom ออกมาขอโทษและให้ข้อมูลในเรื่องนี้ผ่าน blog ไว้ว่าโดยปกติแล้ว Zoom จะมี server อยู่หลายที่ ถ้าผู้ใช้เข้ามาใช้งาน Zoom จะเลือกหา server ที่ใกล้ที่สุดเพื่อให้มีประสิทธิภาพสูงสุด หากพบว่า server นั้นใช้เต็ม max capacity แล้ว ระบบจะทำการหา server ใกล้เคียงให้ ปัญหาคือในช่วงเดือนกุมภามีการใช้งานจากภายในประเทศจีนเยอะ (ช่วงจีนรับมือกับ covid-19) ทำให้ Zoom ต้องรีบเพิ่ม server เข้าไปในจีนอย่างเร่งรีบ และดันเผลอไป add 2 chinese data centers เข้าไปใน white list เลยเป็นสาเหตุที่ทำให้ connection จากนอกจีนวิ่งเข้าไปใน server ของประเทศจีนนั่นเอง ซึ่งตอนนี้ Zoom ก็ออกมาบอกว่าได้ตัด data center ในจีนออกจาก white list แล้ว

ยังไงก็ต้องรอดูการรับมือสถานการณ์ของ Zoom กันต่อไป…


gie

Written by gie who lives and works in Bangkok. Build things by code.
my twitter | github