Ključni izsledki
- Zvezna komisija ZDA za trgovino je 9. novembra objavila, da je s Zoomom dosegla poravnavo, potem ko je domnevno zavajal uporabnike glede varnosti.
- Poravnava zahteva, da Zoom vzpostavi "celovit varnostni program".
- Zoom pravi, da je težave že obravnaval in je pred kratkim objavil, da bo uvedel šifriranje od konca do konca.
Priljubljena konferenčna platforma Zoom krepi svoje varnostne prakse kot del poravnave z ameriško zvezno trgovinsko komisijo (FTC) po obtožbah agencije, da je uporabnike zavajala glede svoje ravni varnosti.
Zoom je v samo nekaj mesecih postal znano ime, saj se je svet obrnil k njegovi videokonferenčni platformi zaradi pandemije, ki močno omejuje osebna srečanja. Vendar pa je pritožba FTC trdila, da je Zoom "sodeloval v vrsti goljufivih in nepoštenih praks, ki so spodkopavale varnost njegovih uporabnikov."
To je sledilo pregledu varnostnih strokovnjakov v začetku tega leta, ki so ugotovili, da platforma kljub trditvam trženja ne uporablja šifriranja od konca do konca. Zoom je med naraščanjem priljubljenosti videl tudi druge varnostne težave, na primer nezaželene udeležence, ki so zrušili sestanke v praksi, imenovani "zoombombing". Kot del poravnave FTC se je Zoom zavezal k izvajanju "celovitega varnostnega programa."
»Med pandemijo praktično vsi – družine, šole, družbene skupine, podjetja – za komunikacijo uporabljajo videokonference, zaradi česar je varnost teh platform kritičnejša kot kdaj koli prej, « Andrew Smith, direktor FTC-jevega Urada za potrošnike Zaščita piše v sporočilu za javnost agencije.
"Varnostne prakse Zooma niso bile v skladu z obljubami in to dejanje bo pomagalo zagotoviti, da so sestanki Zooma in podatki o uporabnikih Zooma zaščiteni."
Vladni nadzor
Pritožba FTC trdi, da je Zoom zavajal svoje uporabnike glede več težav, povezanih z varnostjo, od katerih se najpomembnejša nanaša na trditve o šifriranju od konca do konca.
Piše, da Zoom že od leta 2016 trdi, da ponuja 256-bitno šifriranje od konca do konca za klice Zoom, vendar je v resnici zagotavljal nižjo raven varnosti. Ko je omogočeno šifriranje od konca do konca, imajo samo udeleženci v klicu ali klepetu dostop do izmenjanih informacij – ne Zoom, vlada ali katera koli druga stran.
Poleg tega pritožba navaja, da je Zoom shranjeval posnete, nešifrirane sestanke na svojih strežnikih do 60 dni, ko je nekaterim svojim uporabnikom povedal, da bodo takoj šifrirani.
Druga težava je povezana s programsko opremo za Mac, imenovano ZoomOpener, ki je ostala v računalnikih uporabnikov tudi po brisanju Zooma in bi jih lahko naredila ranljive za hekerje. "Ta programska oprema je zaobšla varnostne nastavitve brskalnika Safari in ogrozila uporabnike - neznancem je na primer omogočila, da vohunijo za uporabniki prek spletnih kamer njihovega računalnika," v objavi na spletnem dnevniku pojasnjuje Alvaro Puig, strokovnjak za izobraževanje potrošnikov FTC.
Odziv Zooma
Medtem ko je Zoom šele pred kratkim rešil pritožbo FTC, je družba Lifewire v e-pošti sporočila, da je težave "že obravnavala".
"Varnost naših uporabnikov je glavna prioriteta za Zoom," je tiskovni predstavnik podjetja povedal Lifewire v e-pošti. Zoom je sprejel več korakov, da bi odgovoril na obtožbe FTC, vključno z uvedbo 90-dnevnega načrta aprila, ki je prinesel več kot 100 funkcij, povezanih z zasebnostjo in varnostjo.
Zoom je konec oktobra uvedel šifriranje od konca do konca, kar je omogočil majski prevzem podjetja Keybase. Šifriranje od konca do konca je še vedno v načinu, ki ga Zoom imenuje "tehnični predogled", in podjetje pravi, da Zoomovi strežniki nimajo dostopa do šifrirnih ključev. Za zdaj so nekatere funkcije omejene v načinu šifriranja od konca do konca, vključno z možnostjo pridružitve sestanku pred gostiteljem in sobami za sejo po skupinah.
Kako uporabljati Zoomovo šifriranje od konca do konca
Profesor računalništva z Univerze Alabama v Birminghamu Nitesh Saxena pravi, da so Zoomova prizadevanja za uvedbo pravega sistema šifriranja od konca do konca "korak v pravo smer", vendar ugotavlja, da je treba še delati.
"Obstajajo pomembna vprašanja, ki jih je treba obravnavati, preden lahko to resnično zagotovi raven varnosti, ki jo uporabniki morda zahtevajo od klicev Zoom," pravi.
Saxena, ki je obširno preučeval Zoomovo varnost, pravi, da je varnost njegove metode šifriranja od konca do konca v končni fazi odvisna od postopka, ki se uporablja za preverjanje kriptografskih ključev udeležencev sestanka (ključni korak za preprečevanje prisluškovanja klicu)).
V tem primeru uporabniki to sami preverijo pred začetkom sestanka. V Zoomovi prvi fazi njegovega protokola šifriranja od konca do konca gostitelj sestanka prebere 39-mestno kodo, ki jo morajo drugi preveriti na svojem zaslonu.
Varnostne prakse Zooma niso bile v skladu z obljubami in to dejanje bo pomagalo zagotoviti, da so sestanki Zooma in podatki o uporabnikih Zooma zaščiteni.
Glede na raziskavo Saxene in njegove ekipe je lahko ta pristop nagnjen k človeški napaki, če nekdo ni pozoren in pomotoma sprejme kodo, ki se ne ujema ali popolnoma preskoči postopek.
Poleg tega se morajo gostitelji in udeleženci sestanka prepričati, ali so pred začetkom sestanka omogočili šifriranje od konca do konca, saj ni privzeto vklopljeno. Saxenina raziskava je tudi ugotovila, da so lahko vrste številskih kod, ki jih uporablja Zoom, tudi nagnjene k določeni vrsti napada.
Torej lahko uporabniki Zooma čutijo nekaj olajšanja, ker je platforma že obravnavala glavna varnostna vprašanja, ki jih je izpostavila pritožba FTC, in zdaj ponuja prvo fazo šifriranja od konca do konca. Vendar se morajo udeleženci konference zavedati, da pravilna uporaba novega načina šifriranja od konca do konca zahteva posebno pozornost, ko je čas za postopek preverjanja kode na začetku klica.
