Yêu thích Zoom? Đây là những vấn đề bảo mật bạn cần lưu ý khi sử dụng ứng dụng này

Các cuộc gọi video trên Zoom không hề đảm bảo tính bảo mật như bạn vẫn tưởng.

Ứng dụng hội nghị Zoom đang chứng kiến một "cơn lũ" người dùng mới khi mà dịch COVID-19 khiến ngày càng nhiều nhân viên phải chuyển sang làm việc tại nhà. Yếu tố dễ dàng sử dụng của Zoom chính là điểm nổi trội thu hút người dùng. Tuy nhiên, những người dùng mới nên lưu ý những hành vi liên quan đến quyền riêng tư của công ty này. Bằng cách xem xét chính sách bảo mật và một số tài liệu hỗ trợ của công ty, người dùng sẽ nhanh chóng nhận ra những vấn đề đáng lưu tâm, chẳng hạn như Zoom cho phép sếp theo dõi sự chú tâm của bạn trong suốt cuộc gọi, chia sẻ lượng dữ liệu khổng lồ mà họ thu thập với bên thứ ba cũng như những lỗ hỗng bảo mật lớn.

Nhằm bảo vệ người dùng của mình khi phải làm việc trong đợt bùng phát dịch bệnh COVID-19, ProtonMail, dịch vụ mã hóa email đã đưa ra một số đề xuất để người dùng có thể tự bảo vệ mình khi sử dụng Zoom:

Zoom biết được liệu người dùng có đang chú tâm vào cuộc gọi hay không

Bất cứ khi nào tạo lập cuộc gọi trên Zoom, bạn đều có tùy chọn kích hoạt tính năng theo dõi sự chú ý của người tham dự. Tính năng này thông báo cho chủ phòng khi nào có một người tham gia không tập trung vào ứng dụng trong hơn 30 giây. Nói cách khác, nếu bạn đang tham gia cuộc gọi Zoom và nhấp chuột đi đâu đó khác, chủ phòng sẽ được thông báo sau 30 giây, bất kể là bạn thu nhỏ ứng dụng để ghi chú, kiểm tra email hay trả lời câu hỏi trên một ứng dụng khác.

Tính năng này chỉ hoạt động nếu như người dùng; chia sẻ màn hình của họ cho những người khác trong cuộc gọi. Vẫn chưa rõ thông báo có được kích hoạt hay không nếu như người dùng chỉ sử dụng chức năng gọi thoại.

Tất nhiên, không nhìn vào màn hình không có nghĩa là bạn không chú tâm hay đang làm việc khác, hơn nữa nhiều lúc người dùng phải tạm rời màn hình cuộc gọi vì một vài lý do cá nhân, vì thế thông báo không phải lúc nào cũng hữu hiệu. Tính năng này chỉ hoạt động trên phiên bản ứng dụng 4.0 trở lên và không đáng tin cậy nếu tham gia cuộc gọi thông qua trình duyệt web thay vì ứng dụng.

Bạn cũng cần lưu ý rằng chủ phòng có thể ghi âm lại cuộc gọi để phát lại sau đó cũng như lưu trữ các tin nhắn trò chuyện trong cuộc họp dưới định dạng tập tin TXT. Trang hỗ trợ của ứng dụng mô tả "đoạn trò chuyện đã lưu sẽ chỉ bao gồm các tin nhắn từ chủ phòng và tham luận viên gửi đến tất cả những người tham gia", tuy nhiên không nói rõ về phần tin nhắn trực tiếp giữa những người tham dự.

Zoom thu thập các dữ liệu riêng tư của người dùng

Zoom không chỉ theo dõi sự tập trung của người dùng mà ứng dụng này còn theo dõi … cả người dùng.

Theo chính sách bảo mật của công ty, Zoom có thể thu thập rất nhiều dữ liệu về bạn, bao gồm tên, địa chỉ vật lý, địa chỉ email, số điện thoại, chức danh nghề nghiệp, nhà tuyển dụng. Ngay cả khi bạn không đăng ký tài khoản trên Zoom, ứng dụng này vẫn sẽ thu thập và lưu trữ dữ liệu về loại thiết bị mà bạn sử dụng, cùng địa chỉ IP. Nó cũng sẽ thu thập thông tin từ hồ sơ Facebook của bạn (nếu sử dụng Facebook để đăng nhập) và bất cứ "thông tin nào được bạn tải lên, cung cấp hoặc tạo ra trong quá trình sử dụng dịch vụ".

Một số dữ liệu mà bạn tự nhập liệu khi đăng nhập (ví dụ như để tham gia cuộc gọi trực tuyến, bạn phải cung cấp email của mình), phần lớn dữ liệu này sẽ bị thu thập tự động bởi ứng dụng.

Trong chính sách bảo mật của ứng dụng, dưới mục "Zoom có bán dữ liệu cá nhân của người dùng không?" chính sách của công ty này xác nhận nó "Phụ thuộc vào định nghĩa ‘bán' của người dùng là gì". Để tóm tắt chính sách của Zoom, họ nói rằng họ không bán dữ liệu cá nhân cho bên thứ ba vì lợi nhuận, nhưng họ chia sẻ thông tin này với các bên thứ ba vì "mục đích kinh doanh". Và điều đó nghĩa là thông tin cá nhân của bạn cũng sẽ được chuyển cho Google.

Lỗi hack camera trên thiết bị người dùng

Năm ngoái, nhà nghiên cứu bảo mật Johnathan Leitschuch phát hiện ra Zoom đã chạy một máy chủ web cục bộ trên thiết bị Mac của người dùng nhằm cho phép ứng dụng này vượt qua các tính năng bảo mật trên Safari 12. Nó được sử dụng để bỏ qua cửa sổ pop-up mà Safari sẽ hiển thị trước khi ứng dụng được quyền truy cập camera trên thiết bị. Hành động này không hề được đề cập trong bất cứ tài liệu chính thức nào của Zoom.

Không những thế, máy chủ web từ xa này cũng không được bảo mật hiệu quả. Khá nhiều trang web có thể tương tác với nó, kết quả là Zoom để cho hàng loạt trang web độc hại chiếm quyền Mac Webcam mà không hề đưa ra cảnh báo.

Zoom tự động tham gia vào một cuộc họp thông qua camera trên Macbook.

Điều này đã khiến Trung tâm Bảo mật Thông tin Điện tử (Electronic Privacy Information Center – EPIC) gửi đơn khiếu nại lên Hội đồng Thương mại Liên bang Hoa Kỳ (Federal Trade Commission – FTC) về hành động trên, cho rằng Zoom "cố tình thiết kế dịch vụ hội nghị của mình tránh né các cài đặt bảo mật của trình duyệt và kích hoạt từ xa camera của người dùng mà không hề có sự chấp thuận hoặc để người dùng biết về nó".

Mặc dù Zoom đã loại bỏ các máy chủ web từ xa, nhưng cách tiếp cận thiếu cẩn trọng của họ nhằm đạt được sự chấp nhận từ người dùng và để thuận tiện mà không quan tâm đến vấn đề bảo mật và quyền riêng tư đã đặt ra những nghi vấn nghiêm trọng về trách nhiệm của công ty.

Làm thế nào để bạn có thể bảo vệ dữ liệu của mình

Dù Zoom đang dần trở thành một công cụ hội nghị trực tuyến tiêu chuẩn được nhiều người dùng lựa chọn, bạn vẫn có thể thực hiện một vài thủ thuật nhỏ nhằm giữ an toàn cho dữ liệu của mình.

- Sử dụng hai thiết bị trong các cuộc gọi Zoom: Nếu bạn đang tham gia cuộc gọi trên máy tính, hãy sử dụng điện thoại để kiểm tra email hoặc nhắn tin với những người khác tham dự cuộc gọi. Cách này sẽ không kích hoạt cảnh báo theo dõi sự chú ý.

- Không sử dụng Facebook để đăng nhập: Mặc dù cách này có thể tiết kiệm thời gian, nhưng lại bảo mật khá kém và tăng rủi ro đáng kể lượng dữ liệu cá nhân mà Zoom có thể truy cập.

- Luôn cập nhật ứng dụng Zoom: Zoom đã xóa bỏ máy chủ web từ xa khỏi các phiên bản mới nhất của ứng dụng. Nếu bạn vừa tải phiên bản gần đây nhất của Zoom thì sẽ không cần phải lo về lỗ hổng.

Cuối cùng, làm việc tại nhà đòi hỏi các công ty, văn phòng và nhân viên phải định hình lại cách thức làm việc. Tuy nhiên, không nên vì thế mà hy sinh quyền riêng tư của mình trong quá trình chuyển đổi này.

Giang Vu