В связи с массовым переходом на удалённую работу приложение для видеоконференций Zoom резко выросло в популярности. Но это не идеальный вариант с точки зрения безопасности. Хотя Zoom предлагает end-to-end шифрование для текстовых чатов, а шифрование видеоконференций можно активировать на стороне хоста, если верить разработчикам проприетарной программы.
Но тип шифрования невозможно проверить, потому что код закрыт, а с точки зрения приватности приложение Zoom вызывает вопросы у некоторых экспертов. Например, хост может активировать странную функцию «трекинг внимания» (attention tracking). Она отслеживает, что участник не отвлекается от совещания больше, чем на 30 секунд (окно приложения должно быть открыто и активно).
Конечно, пользователи нашли выход из ситуации. Например, можно запустить активное окно Zoom на смартфоне или планшете, а в это время спокойно работать на компьютере или ноутбуке, или наоборот.
Вызывает подозрение официальная политика приватности Zoom, в которой компания предупреждает о сборе большого массива персональных данных на пользователей:
- имя;
- физический адрес;
- почтовый адрес;
- телефонные номера;
- место работы и доолжность;
- информация из профиля Facebook;
- спецификации компьютера или смартфона;
- IP-адрес;
- «информация, которую вы загружаете, предоставляете или создаёте во время использования сервиса».
При этом в документе практически ничего не сказано, зачем собирается эта информация и как она используется. Компания даже не может прямо ответить на вопрос «Вы продаёте эту информацию?»
Electronic Privacy Information Center (EPIC) в прошлом году предупреждал, что «Zoom умышленно разработан для обхода настроек безопасности браузера и удалённого включения веб-камеры пользователя без его ведома или согласия»
В июле 2019 года специалисты по безопасности с удивлением узнали, что после установки и удаления клиента Zoom на localhost остаётся активный веб-сервер, который может самостоятельно переустановить Zoom без участия пользователя.
Конечно, компания постаралась быстро исправить этот баг (который на самом деле был фичей) и извиниться перед публикой, но отношение Zoom к приватности от этого не изменилось.
В марте 2020 года выяснилось, что приложение Zoom для iOS отправляет данные в Facebook, даже если у вас нет аккаунта Facebook. Анализ сетевой активности показал, что приложение подключается к Facebook Graph API, отправляет туда информацию об открытии приложения, данные об устройстве пользователя (модель, часовой пояс, город, оператор связи) и уникальный рекламный идентификатор, который генерируется на устройстве для профилирования и слежки за пользователем с целью таргетирования рекламы.
Об отправке данных в Facebook ничего не говорится в политике приватности Zoom. Руководство компании уверяет, что это произошло случайно: «Zoom чрезвычайно серьёзно относится к конфиденциальности своих пользователей, — сказано в официальном заявлении. — Мы изначально реализовали функцию входа через Facebook, чтобы предоставить нашим пользователям ещё один удобный способ доступа к нашей платформе. Однако недавно нам стало известно, что Facebook SDK собирает ненужные данные с устройств. В ближайшие дни Facebook SDK будет удалён. Чтобы изменения вступили в силу, нужно будет обновиться до последней версии приложения, и мы рекомендуем им сделать это. Мы искренне приносим свои извинения за этот недосмотр и остаемся твёрдо приверженными защите данных наших пользователей».
В то же время журнал Consumer Reports печатает советы, как защититься от навязчивой слежки со стороны Zoom, а эксперты требуют от компании изменить официальную политику приватности.
Jitsi Meet
К счастью, Zoom — не единственный вариант для проведения видеоконференций. Есть ещё Facetime (только для Mac и iOS), WhatsApp (принадлежит Facebook), Wire (нет бесплатной версии), Google Meet (отсутствует end-to-end шифрование, требует аккаунта Google), Skype Meet, Cisco Webex, StarLeaf, Nextcloud Talk и прочие.
Наконец, есть бесплатная, полнофункциональная и опенсорсная программа Jitsi Meet. Для её использования не требуется регистрация аккаунта, а сама программа работает в браузере.
Некоторые функции:
- До 75 участников (до 35 при сохранении высокого качества связи)
- Публичные и приватные чаты
- Размытие фона за человеком (функция пока в бета-версии)
- Интеграция со Slack, Google Calendar и Office 365
Пользователи могут делиться своим рабочим столом или проводить презентации. Если вы хотите выступить с публичными лекциями, можно транслировать видеоконференцию на YouTube. И наоборот, можно смотреть видео с YouTube всем вместе в чате Jitsi. Документы можно совместно редактировать в Etherpad, также имеется соединение для тех, кто хочет дозвониться по телефону.
У участников конференции есть возможность виртуально поднять руку с помощью собственной кнопки — сигнализировать, что вы хотите получить слово следующим. Существует встроенный чат для обмена текстовыми сообщениями, а также функция записи текущего обсуждения.
Технически продвинутые пользователи могут поднять у себя собственный сервер Jitsu Videobridge, который обрабатывает в реальном времени тысячи видеопотоков по WebRTC. Такой вариант может подойти компаниям, которые не хотят отдавать трафик наружу и могут сами организовать видеоконференции.
Полезные ссылки
- Публичные серверы Jitsi Meet
- Руководство по установке Jitsi на Linux-сервер
- Установка Jitsi Meet на Raspberry Pi 3
- Форумы Jitsi Community
- Репозиторий Jitsi на GitHub
Примечание. В данный момент у веб-клиента Jitsi небольшие проблемы при работе в Firefox, потому что этот браузер не очень хорошо поддерживает simulcast (одновременная трансляция на несколько узлов). В результате, если к конференции присоединяется пользователь на Firefox, у всех остальных резко возрастает нагрузка на CPU и расход батареи. Mozilla обещает исправить ситуацию в ближайшее время.
Автор: Дата-центр "Миран"