Zoom - pandemiya davrining asosiy ilovasi shuhratiga xavfsizlik muammosi soya solmoqda

Muallif: Kun.uz       44       2020-04-16/19:37:30


Koronavirus pandemiyasi sharoitida Zoom butun jahon afkor ommasining e'tiboriga tushdi — avval bu servis vositasida onlayn o‘qishga o‘tgan maktab o‘quvchilari va talabalar, so‘ngra hamma-hammaning.

Platforma yaqinlar bilan tezda va arzon muloqot qilish, onlayn darslar o‘tish, virtual kechalar, hattoki to‘ylar o‘tkazish imkonini beradi.

Biroq, uning mashhurligi ortidan jiddiy muammolarga ham ega ekani oydinlashdi. Korporativ mijozlar uchun mahsulot tayyorlagan xitoyliklarning bu startapi foydalanuvchilarning juda katta qismiga tayyor emasligi oydinlashdi. Yovuz niyatli kimsalar konferensiyani uyatsiz videolar bilan bo‘lib qo‘yishmoqda, Facebook va Darknetga yuz minglab foydalanuvchilarning shaxsiy ma'lumotlari sizib chiqmoqda, qo‘ng‘iroqlarning yozuvi esa ochiq foydalanishga chiqarib yuborilmoqda.

Mutaxassislar borgan sari platformaning yangidan-yangi ojiz tomonlarini topishmoqda.

Zoom OAV va kiberxavfsizlik mutaxassislarning tanqidiga, AQSh FQBdan so‘rovlarga, foydalanuvchilar va aksiyadorlarning sudga da'vo arizalariga botib qoldi. Endi ilovaning qulayligi va foydalanuvchilarning shaxsiy ma'lumotlarni saqlash o‘rtasida muvozanatni topish ustida ish olib borayotgan kompaniya o‘z muvaffaqiyatining qurboniga aylanishi mumkin.

Yarim millionga sotilayotgan ma'lumotlar

Vice o‘zining bir necha manbalariga tayanib yozishicha, hakerlar Zoom’da foydalanuvchilar ortidan josuslik qilish mumkin ikkita jiddiy ojiz nuqta topishgan. Hali himoya mexanizmi o‘ylab topilmagan ojiz nuqtalar Windows’da? ham MacOS’da ham bor ekan.

Vice hamsuhbatlarining aytishicha, Windows’dagi nuqsonning narxi – 500 ming dollar. Boshqa manba ikki barobar pastroq narx aytgan.

Windows’dagi zaif nuqta «sanoat shpionaji uchun ideal quroldir», degan Vice’ning kiberxavfsizlik sohasidan xabardor hamsuhbati. Undan foydalanib, haker kodni kiritishi va ilovaga ruxsat olishi mumkin — RCE-zaiflik (remote code execution — kodni masofadan turib bajarish) bilan bog‘liq. MacOS uchun eksployt boshqacha va RCE bilan bog‘liqmas.

Zoom kompaniyasidagilar Vice’ga bu ma'lumot tasdiqlanmaganini aytishgan.

«Zoom foydalanuvchilar xavfsizligiga jiddiy e'tibor qaratadi. Biz bu mish-mishlardan xabar topganimizda xavfsizlik bo‘yicha nufuzli kompaniya bilan sutkalab birga ishladik. Bugunga kelib, bu ta'kidlarni tasdiqlovchi birorta isbot topa olmadik», — deyiladi kompaniya bayonotida.

Zoom – pandemiyagacha bo‘lgan davrda

Zoom’ni AQSh fuqaroligiga ega xitoylik milliarder Erik Yuan 2011 yilda ishlab chiqqan. Bu vaqtda u Xitoyda talaba edi. Wikipedia ma'lumotiga ko‘ra, student Erik yoqtirgan qizi bilan ko‘rishish uchun 10 soatlab poyezdda yurishiga to‘g‘ri kelgan va shu boisdan uning «uchratish»ning osonroq yo‘llarini izlashga tushishi ortidan Zoom paydo bo‘lgan.

Avvaliga Zoom Video Communications korporativ mijozlar bilan shartnoma imzolab, ish beruvchilarga masofadan turib suhbat uyushtirish, xodimlarga esa o‘zaro muloqot qilish imkonini bergan. 2014 yilda foydalanuvchilar soni 10 milliongacha o‘sgan, servisga 20 ming tashkilot obuna bo‘lgan.

2019 yilning aprelida Zoom ilk marta aksiyalarini ochiq savdoga chiqargan, shunda kompaniya 16 milliard dollarga baholangandi.

Zoom’ning 2017 yildagi interfeysi

Zoom`da xavfsizlik bo‘yicha muammolar u hali jahon miqyosida mashhur bo‘lib ulgurmasidan avval ham bor edi. 2019 yilning iyulida tadqiqotchi Jonatan Leytshux istalgan sayt macOS’ning faollashtirilgan veb kamerasiga ega foydalanuvchisini Zoom qo‘ng‘irog‘iga qo‘sha olish imkoniyatiga egaligini aniqlagan. Agar mijoz ilovani macOS’dan o‘chirmoqchi bo‘lsa, u yashirin veb-serverdan foydalanib, fon rejimida qayta o‘rnatilgan. Vaziyatni o‘nglash va foydalanuvchilarni himoyalash uchun ishga Apple aralashgan va Zoom xatoni to‘g‘irlagan.

2019 yilning oxirida kiberxavfsizlik bo‘yicha ekspertlar konferensiya kodlari (Meeting ID) shifrlash bilan himoyalanmaganini topishdi. Cequence Security startapi tadqiqotchilari kodlarni terib, qo‘ng‘iroqlarga to‘siqsiz ulana oluvchi botni yaratishdi. API servislar orqali ular jarayonni avtomatlashtirishgan. Zoom’dagilar ojiz nuqtadan foydalanish holatlari bo‘lganidan «bexabar» ekanliklarini aytib, servisning botlar hujumidan himoya qilishni yaxshilashga va'da berishgan.

Pandemiya chog‘ida barcha uchun videochat

2020 yil marta oyi boshlarida JSST jahonda COVID-19 pandemiyasi hukm surayotganini e'lon qildi. Bir qator davlatlarda karantin e'lon qilindi, boshqalarida o‘z-o‘zini yakkalash hamda ijtimoiy masofalanish rejimiga amal qilishni tavsiya etishdi. Koronavirus fonida o‘qish, ish va ijtimoiy aloqalar majburiy ravishda onlaynga ko‘chdi. Ko‘pchilikning tanlovi Zoom bo‘ldi.

Bir oy ichida Zoom.us trafigi 535 foizga o‘sdi, iOS uchun ilovasi esa App Store’da eng ko‘p yuklanayotgan ilovaga aylandi. Pendemiya boshidan beri kompaniya aksiyalari ikki barobar qimmatladi.

2020 yil martida Zoom’ning kunlik auditoriyasi 200 million kishi bo‘lgan. Bu – 2019 yil dekabridan 20 barobar ko‘p degani.

Trafikning bunday oshishiga sabab – Yuan servisdan foydalanishni maktablar va universitetlar uchun tekin qilib qo‘ydi, o‘quvchilar uchun qo‘ng‘iroq limiti ham bekor qilindi. Minglab ta'lim muassasalari Zoom’da onlayn darslar o‘ta boshlashdi.

O‘quvchilar esa servisdan nafaqat darsda, tanaffus, uchrashuv va kechalarda ham foydalanishardi. Talabalar endi hamma «Zoom universiteti»ga borayotgani, o‘quv dargohi bitta bo‘lsa ham, o‘qish uchun uchun to‘lanadigan pul turlicha ekanini aytib, hazillasha boshlashdi. Talabalar servisni memga aylantirishdi va «Z avlod» deyilganda Z harfi nimani bildirishini hamma tushunib oldi, deyishmoqda.

Kollej-universitetlar va koronavirus inqirozi

Nega Skype, Google Hangouts, FaceTime yoki Microsoft Teams emas – aynan Zoom?

The Verge’ning tushuntirishicha, bunga sabab – servisdan foydalanish oddiyligi, ko‘p funksiyalarga ega tekin rejaga ega ekani.

Bazaviy versiyasida 40 daqiqalik videokonserensiyalar bor, unga 50 tagacha kishi qo‘shilishi mumkin. Faqat konferensiya xonasini yaratgan odam ro‘yxatdan o‘tishi kerak, qolganlar hosil qilingan havola bo‘yicha konferensiyaning tasodifiy generatsiya qilingan 9-11 xonalik raqamdan iborat kodini kiritib o‘tishadi.

Uchrashuvlarni rejalashtirish, qatnashuvchilarni oldindan ogohlantirish mumkin.

Zoom interfeysi raqobatchilarinikiga qaraganda ancha intuitiv. Skype’da uzun va murakkab parol kiritiladigan shunday funksiya bor, lekin undan ko‘pchilik bexabar. FaceTime uchun AppleID kerak. Google Hangouts’da barcha ishtirokchilar ro‘yxatdan o‘tishi kerak. Zoom’da esa hattoki profilni sozlash, fotosurat yuklash yoki foydalanuvchilarni qo‘lda kiritib, axtarish ham shart emas.

Microsoft acquired Skype for $8.5 billion back in 2011, the same year Zoom was founded. If the coronavirus pandemic happened in 2011, everyone would have used Skype for video calls. Now everyone is using Zoom instead, because Microsoft spent nearly 10 years mismanaging Skype

— Tom Warren (@tomwarren) March 28, 2020

The Verge muharriri Tom Uorren tvitterida shunday deb yozadi: Microsoft 2011 yilda – Zoom’ga asos solingan paytda Skype’ni 8,5 million dollarga sotib olgan. Agar koronavirus pandemiyasi 2011 yili ro‘y berganida videoaloqa uchun barcha Skype’dan foydalangan bo‘lar edi. Endi barcha Zoom’dan foydalanmoqda, chunki Microsoft Skype’dan yolchitib foydalanmaslikka qariyb o‘n yilini sarflab bo‘lgan.

Korporativ segmentda hamma allaqachon Zoom’dan foydalanib kelayotgan edi, Skype kabi «eski texologiyalar»ni rad etuvchi talaba va o‘quvchilarga servis juda «obro‘li brend» bo‘lib ko‘rinmoqda. Ularning ortidan platforma yaqinlari bilan oson va tekin aloqa qilib turishni istayotgan boshqa foydalanuvchilarni ham jalb qildi.

«Barchamiz Zoom`da yashayapmiz», — deb yozdi The New York Times.

Birinchi jiddiy muammo — zumbombing

Zoom’dan foydalanishning soddaligi zumbombing (zoombombing)ni keltirib chiqarmoqda. Qatnashuvchilar o‘zlari bexabar holda begona konferensiyalarga qo‘shilib qolishi shunday atalmoqda. Chunki qoida tariqasida barcha konferensiyalar yashirin emas. Translatsiyani tuzgan foydalanuvchi ruxsatisiz qatnashuvchilardan kimdir begonaga kodni uzatib yuborishi va u ham ulanib olishi mumkin. Konferensiyani maxfiy qilish uchun yo parol o‘rnatish kerak, yoki kutish xonasini yaratib, kirayotgan mehmonlarni qo‘lda tasdiqlab yoki inkor etib turish kerak.

OAVdagi tanqidlar, xavfsizlik masalasiga hukumat ham befarq qaramayotgani va sudga da'vo arizalari alal-oqibat kompaniyani global choralar ko‘rishga majbur qildi.

Kompaniya maxfiylik siyosatini qat'iylashtirdi. 5 apreldan boshlab Zoom’da har qanday konferensiyaga qo‘shilish uchun nafaqat konferensiya kodi, shuningdek, unga parolni ham so‘raydi. Chat tuzgan kishi kutish xonasida paydo bo‘lgan yangi qatnashuvchilarni yo ma'qullaydi, yo rad etadi. Kompaniya konferensiyaning bosh ekranidan kodni ham yashirdi — endi qo‘ng‘iroqdan skrinshot qilinsa, u ko‘rinmaydi.

Zoom’ning kelajagi

OAV o‘zi auditoriyasiga Zoom’dan foydalanishni bas qilishni tavsiya etib, muqobillar, masalan, FaceTime, Signal, Microsoft Teams, Skype, Jitsi yoki Houseparty’ni taklif etmoqda.

Videoqo‘ng‘iroqlar servislari ham foydalanuvchilarga peshvoz chiqmoqda — qo‘ng‘iroq ishtirokchilari sonini oshirmoqda, konferensiyaga qayddan o‘tmasdan qo‘shilish imkonini yaratishmoqda.

Lekin xavfsizlik bilan bog‘liq muammolarga qaramasdan, foydalanuvchilar Zoom’ga sodiq qolishyapti. Soddagina interfeys avval boshdan platformaga juda ko‘pchilikni jalb qilgan va hamon ushlab turibdi. Endi hammasi kompaniya rahbariyatiga bog‘liq, ular qulaylik va xavfsizlik o‘rtasida muvozanatni saqlash borasida murakkab qarorlar chiqarishi kerak.

Zoom allaqachon konferensiyaga qo‘shilishni murakkablashtirishdi, zumbombingga duchor bo‘lmaslik uchun nimalar qilish kerakligi haqida uzun yo‘riqnomalar chiqarishdi va ko‘plab nuqsonlarni to‘g‘irlashdi. Endi gap foydalanuvchilarda: ular tekin servisdan foydalanaman, deya o‘zlarning shaxsiy ma'lumotlarini qurbon qilishga tayyormi?