Egyéb kategória

A távoktatás egy adatvédelmi rémálom

Az index.hu minden távoktatásban részt vevő számára hasznos cikket közölt. A lényege a távoktatásban használt programok applikációk módszerek elemzése az adatvédelem szempontjából. Az alábbiakban a cikkből szemezgetünk.

A villámként becsapó távoktatás minden résztvevőt egy egész országra kiterjedő kísérlet kényszerű alanyává tett. Nem egy gondosan kiválasztott és alaposan előkészített eszközkészletet kellett hosszú tesztelés után élesben is bevetni, hanem az épp elérhető és szembejövő szolgáltatásokból volt kénytelen minden iskola, tanár összeeszkábálni egy virtuális oktatási platformot, ami ennek megfelelően meglehetősen recseg-ropog még. Ez az új helyzet a pedagógiai problémák, a módszertani felkészületlenség mellett adatvédelmi szempontból is kihívás elé állít minden érintettet: tanárt, diákot, szülőt.

Zoom: botrányokkal övezett sikersztori

zoom2_wmMinderre jó esettanulmányt kínál a Zoom nevű videócsetplatform, amely a botcsinálta magyar távoktatásban is gyorsan nagy népszerűségre tett szert, ezért érdemes kicsit alaposabban is megnézni a példáját.

A Zoom azon kevés cég közé tartozik, amelyeket a járvány nem válságba taszított, hanem gazdasági értelemben még nyertek is rajta. A szolgáltatás napi aktív felhasználói száma márciusra 200 millióra ugrott, ami elképesztő mértékű, 2000 százalékos növekedés a decemberi 10 millióhoz képest.

Az elmúlt hetekben azonban sorra derültek ki újabb és újabb biztonsági hibák, adatvédelmi aggályok, megkérdőjelezhető gyakorlatok a szolgáltatásról, amelyekre biztonsági szakértők mellett például az FBI is felhívta a figyelmet. A fejlemények hatására el is kezdődött némi lemorzsolódás, New York-i iskoláktól a SpaceXen, a Google-ön és az amerikai kormányzati szerveken át a Magyar Ügyvédi Kamaráig több szervezet is megtiltotta vagy ellenjavalttá tette a Zoom használatát.

Na de mi a baj a Zoommal? A leglátványosabb probléma a zoombombing nevű jelenség, amelynek a lényege, hogy idegenek csatlakoznak egy védtelen beszélgetéshez, és elkezdik teleszemetelni pornóval vagy más oda nem illő tartalommal. A zoombombing egyébként nem teljesen új jelenség, az Apple vezeték nélküli fájlmegosztó szolgáltatását, az AirDropot például már évekkel ezelőtt is használták idegenek kibervillantásra, azaz arra, hogy a péniszükről küldjenek fotókat a közelben tartózkodó idegenek telefonjára.

A legtöbbet a zoombombingról lehetett hallani az elmúlt hetekben, pedig jó pár további adatvédelmi és biztonsági aggály is felmerült a Zoommal kapcsolatban:

  • Az iOS-app adatokat küld a Facebooknak, akkor is, ha a felhasználónak nincs is Facebook-fiókja.
  • A Windows-appon keresztül egy sebezhetőség miatt jelszavak lophatók és távolról programok futtathatók a gépen.
  • A Mac-app felhasználói interakció nélkül települ, ami sebezhetővé teszi az operációs rendszert.
  • A Mac-app egy biztonsági hibája lehetővé teszi, hogy egy támadó hozzáférjen a gép webkamerájához és mikrofonjához.
  • Szintén a Mac-app a felhasználó tudta nélkül telepített egy komponenst, amellyel visszaélve idegenek kikényszeríthették a csatlakozást egy videóhíváshoz, ezzel távolról bekapcsolva az illető webkameráját.
  • A szolgáltatás egy tervezési hiba miatt több ezer felhasználó emailcímét fedte fel más, idegen felhasználóknak.
  • A cég azt állította, hogy a hívások végpontok között titkosítottak (azaz csak a felhasználók férhetnek hozzájuk, és még maga a cég sem), de erről kiderült, hogy csúsztatás, és valójában a Zoom beleláthat a beszélgetések tartalmába.
  • A tényleg alkalmazott titkosítási eljáráshoz viszont egy kifejezetten problémás módszert használnak.
  • Ráadásul kiderült, hogy a beszélgetések akkor is átfuthatnak kínai szervereken, amikor egyik résztvevő sincs Kínában, és ilyenkor a titkosítási kulcsokat is kínai szerverek generálhatják. Ezek átadására pedig a kínai kormány elvileg kötelezheti a céget, így beleláthat a hívások tartalmába, ami kellemetlen egy olyan program esetében, amelyet többek között az amerikai és a brit kormány is használt.
  • A cégnek a homályos adatvédelmi tájékoztatója szerint lehetősége volt felhasználni a beszélgetéseket hirdetések célzására.
  • Kritika érte azt a funkciót is, amellyel a videóhívás gazdája láthatja, ha egy résztvevő előtt több mint fél perce másik ablak aktív, nem a Zoomé; bár ez az adatvédelmi szempontból megkérdőjelezhető alapbeállítás tanítási környezetben akár előny is lehet.
  • És persze a szokásos netes átverések is megjelentek, amelyekben a cég nem hibás, hanem maga is áldozat, de a Zoom kapcsán felmerülő veszélyek sorában érdemes ezeket is megemlíteni: csalók a Zoom nevével visszaélve, a honlapjához hasonló oldalakat létrehozva próbálják rávenni a felhasználókat, hogy a Zoom appja helyett a saját, kártékony kódot tartalmazó programjukat töltsék le.
Bövebben:

https://index.hu/techtud/2020/04/16/koronavirus…