HunCERT Workshop 2020 – On-line, 2020.10.15.
Miről lesz szó?
● Általános kockázatok
● Adatvédelmi nyilatkozatok összevetése
● Zoom esetek
Általános kockázatok
● Webkamera-tudatosság
● URL-ek kezelése
● Lehallgatás
● Hacker támadás
● Etikai és szabályzati korlátok
● Szabályozás és árnyék IT
Adatvédelmi nyilatkozat – Zoom
● Gyűjtött adatok köre viszonylag pontosan rögzített:
– Anonim esetben: IP, Browser information, ISP, Referrer, Exit page, OS information, Date/time stamp, City level location
● Megőrzési idő: adatkezelés céljához kötött, korlátozott
● A „felhasználói tartalmat” (szerintük) nem kezelik:
The table below describes Zoom’s processing of personal data as a data controller. The table does not cover customer content, including any personal data about you that may be contained in customer content—such as meeting or call recordings or transcripts—because the customer (the Zoom account holder), rather than Zoom, controls how customer content is processed. Any questions about the processing of customer content should be addressed to the customer directly.
● Bővebb információ: https://zoom.us/privacy
Adatvédelmi nyilatkozat – Microsoft Teams
● Gyűjtött adatok köre tágan definiált:
– content, profile data, call history, call quaity, diagnostics
● Megőrzési idő: adatkezelés céljához kötött, korlátozott
● Felvételek és chat adatok kezelője a Microsoft:
Microsoft Teams processes personal data in connection with
Microsoft’s legitimate business operations
● Bővebb információ:
https://docs.microsoft.com/en-us/microsoftteams/teamsprivacy
Adatvédelmi nyilatkozat – Google Meet
● Gyűjtött adatok köre széles és nem pontosan definiált:
– unique identifiers (device, personal), activity, location, sensor data, wireless environment
● Megőrzési idő gyakorlatilag korlátlan:
„… some data we retain for longer periods of time when necessary for legitimate business or legal purposes …”
● Adatkezelés célja gyakorlatilag korlátlan:
„According to its terms, Google does not own user-uploaded files to Google Drive, but the company can do whatever it likes with them with no time restrictions.”
● Bővebb információ: https://policies.google.com/privacy
Zoom biztonsági esetek
● Zoombombing
– Chat és prezentáció funkció „elárasztása” nyilvános szobákban
– Jelszó vagy várakozó szoba kötelező 2020 július 9. óta
● Zoom kitiltása az oktatásból
– Több USA oktatási kerületben
– Elsődleges indok: 12 év alattiak védelme, zoombombing
– 2020 április 6. és május 6. között (New York államban)
● Zoom iPhone app Facebook SDK
– Facebook belépési lehetőséget nyújt
– Adatokat küld már az alkalmazás indításakor
– SDK eltávolítva: 2020 március 27.
● Zoom „távoli webkamera hozzáférés”
– Kényelmi fícsör: zoom web hivatkozás automatikus megnyitása
– PoC: https://jlleitschuh.org/zoom_vulnerability_poc/zoompwn_iframe.html
– Alapértelmezett kamera beállítás megjegyzése: 2020 július 9. óta
● Zoom OSX app lokális webszerver
– Kényelmi fícsör: zoom web hivatkozás automatikus megnyitása
– Eltávolítva: 2020 július 9.
● Kínai befolyás vádjai
– Kínai szoftver fejlesztők is vannak (nem férnek hozzá a prod környezethez)
– A 17-ből egy adatközpont kínai (opt out lehetőség előfizetés esetén)
● Zoom telepítőnek álcázott malware-ek terjedése
Zoom, mint támadási felület (DNS)
Kérdések?
Köszönjük a figyelmet!
http://www.cert.hu
cert@cert.hu