Key takeaways
- U. S. Federal Trade Commission meddelte den 9. november, at den havde indgået et forlig med Zoom efter at have påstået, at den vildledte brugere med hensyn til sikkerhed.
- Forliget kræver, at Zoom sætter et "omfattende sikkerhedsprogram" på plads.
- Zoom siger, at det allerede har løst problemerne, og for nylig annoncerede det, at det ville introducere ende-til-ende-kryptering.
Den populære konferenceplatform Zoom skærper sin sikkerhedspraksis som en del af et forlig med US Federal Trade Commission (FTC), efter agenturets påstande om, at det vildledte brugere om deres sikkerhedsniveau.
Zoom er blevet et kendt navn i løbet af få måneder, hvor verden har vendt sig til sin videokonferenceplatform på grund af pandemien, der i høj grad begrænser personlige møder. En FTC-klage hævdede imidlertid, at Zoom "deltog i en række vildledende og uretfærdig praksis, der underminerede brugernes sikkerhed."
Dette fulgte efter undersøgelse fra sikkerhedseksperter tidligere på året, som fandt ud af, at platformen ikke brugte ende-til-ende-kryptering på trods af markedsføringspåstande. Zoom har også set andre sikkerhedsproblemer under dens stigning i popularitet, såsom uvelkomne deltagere, der styrter møder i en praksis kaldet "zoombombing". Som en del af FTC-forliget har Zoom forpligtet sig til at implementere et "omfattende sikkerhedsprogram."
"Under pandemien bruger praktisk t alt alle - familier, skoler, sociale grupper, virksomheder - videokonferencer til at kommunikere, hvilket gør sikkerheden på disse platforme mere kritisk end nogensinde," Andrew Smith, direktør for FTC's Bureau of Consumer Det siger Protection i styrelsens pressemeddelelse.
"Zooms sikkerhedspraksis stemte ikke overens med dets løfter, og denne handling vil hjælpe med at sikre, at Zoom-møder og data om Zoom-brugere er beskyttet."
Regeringskontrol
FTC-klagen hævder, at Zoom vildledte sine brugere om adskillige sikkerhedsrelaterede problemer, hvoraf det vigtigste vedrører påstande om ende-til-ende-kryptering.
Den sagde, at Zoom har hævdet at tilbyde ende-til-ende, 256-bit kryptering til Zoom-opkald siden 2016, men virkelig givet et lavere sikkerhedsniveau. Når ende-til-ende-kryptering er aktiveret, er det kun deltagere i et opkald eller chat, der har adgang til udvekslet information - ikke Zoom, regeringen eller nogen anden part.
Derudover hævdes det i klagen, at Zoom lagrede optagede, ukrypterede møder på sine servere i op til 60 dage, når det havde fort alt nogle af sine brugere, at de straks ville blive krypteret.
Et andet problem vedrører Mac-software kaldet ZoomOpener, som blev på brugernes computere, selv når Zoom blev slettet, og som kunne have gjort dem sårbare over for hackere. "Denne software omgik en sikkerhedsindstilling for Safari-browseren og satte brugere i fare - for eksempel kunne den have tilladt fremmede at spionere på brugere gennem deres computers webkameraer," forklarer FTC Consumer Education Specialist, Alvaro Puig, i et blogindlæg.
Zooms svar
Mens Zoom først for nylig afgjorde FTC-klagen, fort alte virksomheden Lifewire i en e-mail, at det "allerede har rettet" problemerne.
"Sikkerheden for vores brugere er en topprioritet for Zoom," sagde en talsmand for virksomheden til Lifewire i en e-mail. Zoom har taget flere skridt for at reagere på FTC's påstande, herunder lanceringen af en 90-dages plan i april, der gav mere end 100 funktioner relateret til privatliv og sikkerhed.
Zoom introducerede ende-til-ende-kryptering i slutningen af oktober, muliggjort af virksomhedens overtagelse af et firma kaldet Keybase i maj. End-to-end-krypteringen er stadig i, hvad Zoom kalder "technical preview"-tilstand, og virksomheden siger, at Zooms servere ikke har adgang til krypteringsnøglerne. Indtil videre er nogle funktioner begrænset i end-to-end-krypteringstilstand, inklusive muligheden for at deltage i mødet før værts- og grupperum.
Sådan bruges Zooms ende-til-ende-kryptering
University of Alabama i Birmingham, professor i datalogi, Nitesh Saxena, siger, at Zooms bestræbelser på at implementere et ægte end-to-end-krypteringssystem er et "trin i den rigtige retning", men bemærker, at der stadig er arbejde at gøre.
"Der er væsentlige problemer, der skal løses, før dette virkelig kan give det sikkerhedsniveau, som brugere kan kræve af Zoom-opkald," siger han.
Saxena, som har studeret Zooms sikkerhed indgående, siger, at sikkerheden ved dens end-to-end krypteringsmetode i sidste ende afhænger af den proces, der bruges til at validere mødedeltagernes kryptografiske nøgler (et nøgletrin til at holde aflyttere ude af opkaldet)).
I dette tilfælde tjekker brugerne selv dette, før de starter mødet. I Zooms første fase af sin ende-til-ende-krypteringsprotokol læser mødeværten en 39-cifret kode, som de andre skal tjekke på deres skærm.
Zooms sikkerhedspraksis stemte ikke overens med dets løfter, og denne handling vil hjælpe med at sikre, at Zoom-møder og data om Zoom-brugere er beskyttet.
Ifølge forskning foretaget af Saxena og hans team kan denne tilgang være tilbøjelig til menneskelige fejl, hvis nogen ikke er opmærksomme og ved et uheld accepterer en kode, der ikke stemmer overens, eller springer processen helt over.
Mødeværter og deltagere skal også sikre sig, at de aktiverer ende-til-ende-kryptering, før mødet starter, da det ikke er slået til som standard. Saxenas forskning viste også, at de typer numeriske koder, Zoom bruger, også kan være tilbøjelige til en bestemt type angreb.
Så Zoom-brugere kan føle en vis lettelse over, at platformen allerede har behandlet de vigtigste sikkerhedsproblemer, som FTC-klagen rejser, og nu tilbyder den første fase af end-to-end-kryptering. Konferencedeltagere skal dog være opmærksomme på, at brug af den nye ende-til-ende-krypteringstilstand korrekt kræver ekstra opmærksomhed, når det er tid til kodevalideringsprocessen i begyndelsen af opkaldet.
