Key takeaways
- U. S. Federal Trade Commission kunngjorde 9. november at de hadde inngått et forlik med Zoom etter å ha påstått at de villedet brukere angående sikkerhet.
- Forliket krever at Zoom setter på plass et "omfattende sikkerhetsprogram".
- Zoom sier at den allerede har tatt tak i problemene, og kunngjorde nylig at den ville introdusere ende-til-ende-kryptering.
Den populære konferanseplattformen Zoom forsterker sin sikkerhetspraksis som en del av et forlik med U. S. Federal Trade Commission (FTC), etter byråets påstander om at det villedet brukere om sikkerhetsnivået.
Zoom har blitt et kjent navn i løpet av bare noen få måneder, og verden har vendt seg til sin videokonferanseplattform på grunn av pandemien som begrenser personlig møter. En FTC-klage hevdet imidlertid at Zoom «engasjerte seg i en rekke villedende og urettferdig praksis som undergravde sikkerheten til brukerne».
Dette fulgte gransking fra sikkerhetseksperter tidligere i år, som fant ut at plattformen ikke brukte ende-til-ende-kryptering til tross for markedsføringspåstander. Zoom har også sett andre sikkerhetsproblemer under dens økning i popularitet, for eksempel uvelkomne deltakere som krasjer møter i en praksis k alt «zoombombing». Som en del av FTC-oppgjøret har Zoom forpliktet seg til å implementere et "omfattende sikkerhetsprogram."
"Under pandemien bruker praktisk t alt alle - familier, skoler, sosiale grupper, bedrifter - videokonferanser for å kommunisere, noe som gjør sikkerheten til disse plattformene mer kritisk enn noen gang," Andrew Smith, direktør for FTC's Bureau of Consumer Det sier Protection i byråets pressemelding.
"Zooms sikkerhetspraksis stemte ikke overens med løftene, og denne handlingen vil bidra til å sikre at Zoom-møter og data om Zoom-brukere er beskyttet."
Regjeringens granskning
FTC-klagen hevder at Zoom villedet brukerne sine om flere sikkerhetsrelaterte problemer, hvorav den viktigste er relatert til påstander om ende-til-ende-kryptering.
Det stod at Zoom har hevdet å tilby ende-til-ende, 256-bit kryptering for Zoom-anrop siden 2016, men virkelig gitt et lavere sikkerhetsnivå. Når ende-til-ende-kryptering er aktivert, er det bare deltakere i en samtale eller chat som har tilgang til informasjon som utveksles, ikke Zoom, myndighetene eller noen annen part.
I tillegg hevdes det i klagen at Zoom lagret innspilte, ukrypterte møter på serverne sine i opptil 60 dager når den hadde fort alt noen av brukerne at de umiddelbart ville bli kryptert.
Et annet problem er knyttet til Mac-programvare k alt ZoomOpener, som ble værende på brukernes datamaskiner selv når Zoom ble slettet og kunne ha gjort dem sårbare for hackere. "Denne programvaren omgikk sikkerhetsinnstillingen for Safari-nettleseren og satte brukere i fare - for eksempel kunne den ha tillatt fremmede å spionere på brukere gjennom datamaskinens nettkameraer," forklarer FTC Consumer Education Specialist, Alvaro Puig, i et blogginnlegg.
Zooms svar
Mens Zoom først nylig avgjorde FTC-klagen, fort alte selskapet Lifewire i en e-post at det "allerede har tatt tak i" problemene.
"Sikkerheten til brukerne våre er en toppprioritet for Zoom," sa en talsperson for selskapet til Lifewire i en e-post. Zoom har tatt flere skritt for å svare på FTCs påstander, inkludert lanseringen av en 90-dagers plan i april som ga mer enn 100 funksjoner knyttet til personvern og sikkerhet.
Zoom introduserte ende-til-ende-kryptering i slutten av oktober, muliggjort av oppkjøpet av et selskap k alt Keybase i mai. End-to-end-krypteringen er fortsatt i det Zoom kaller "technical preview"-modus, og selskapet sier at Zooms servere ikke har tilgang til krypteringsnøklene. Foreløpig er enkelte funksjoner begrenset i ende-til-ende-krypteringsmodus, inkludert muligheten til å bli med i møtet før verts- og grupperom.
Hvordan bruke Zooms ende-til-ende-kryptering
Informatikkprofessor Nitesh Saxena ved Universitetet i Alabama i Birmingham sier at Zooms innsats for å implementere et ekte ende-til-ende-krypteringssystem er et "steg i riktig retning", men bemerker at det fortsatt er arbeid å gjøre.
"Det er betydelige problemer som må løses før dette virkelig kan gi det sikkerhetsnivået som brukere kan kreve fra Zoom-anrop," sier han.
Saxena, som har studert Zooms sikkerhet grundig, sier at sikkerheten til ende-til-ende-krypteringsmetoden til syvende og sist er avhengig av prosessen som brukes til å validere møtedeltakernes kryptografiske nøkler (et nøkkeltrinn for å holde avlyttere unna samtalen)).
I dette tilfellet sjekker brukerne dette selv før de starter møtet. I Zooms første fase av sin ende-til-ende-krypteringsprotokoll leser møteverten en 39-sifret kode som de andre må sjekke på skjermen sin.
Zooms sikkerhetspraksis stemte ikke overens med løftene, og denne handlingen vil bidra til å sikre at Zoom-møter og data om Zoom-brukere er beskyttet.
I følge forskning fra Saxena og teamet hans, kan denne tilnærmingen være utsatt for menneskelige feil hvis noen ikke tar hensyn og ved et uhell godtar en kode som ikke samsvarer eller hopper over prosessen helt.
Møteverter og deltakere må også sørge for at de aktiverer ende-til-ende-kryptering før møtet starter, siden det ikke er slått på som standard. Saxenas forskning fant også at typene numeriske koder Zoom bruker også kan være utsatt for en bestemt type angrep.
Så Zoom-brukere kan føle en viss lettelse over at plattformen allerede har tatt opp de viktigste sikkerhetsproblemene som ble reist av FTC-klagen, og nå tilbyr den første fasen av ende-til-ende-kryptering. Konferansedeltakere bør imidlertid være klar over at riktig bruk av den nye ende-til-ende-krypteringsmodusen krever ekstra oppmerksomhet når det er tid for kodevalideringsprosessen i begynnelsen av samtalen.
