Recomandări cheie
- Comisia Federală pentru Comerț a S. U. A. a anunțat pe 9 noiembrie că a ajuns la o înțelegere cu Zoom, după ce a susținut că a indus în eroare utilizatorii cu privire la securitate.
- Acordul impune ca Zoom să pună în aplicare un „program cuprinzător de securitate”.
- Zoom spune că a rezolvat deja problemele și a anunțat recent că va introduce criptarea end-to-end.
Populara platformă de conferințe Zoom își consolidează practicile de securitate ca parte a unui acord cu Comisia Federală pentru Comerț (FTC) din SUA, în urma acuzațiilor agenției că a indus în eroare utilizatorii cu privire la nivelul său de securitate.
Zoom a devenit un nume cunoscut în doar câteva luni, lumea apelând la platforma sa de videoconferințe din cauza pandemiei limitând sever întâlnirile în persoană. Cu toate acestea, o plângere FTC a susținut că Zoom „s-a implicat într-o serie de practici înșelătoare și neloiale care au subminat securitatea utilizatorilor săi.”
Acest lucru a urmat controlului experților în securitate la începutul acestui an, care au descoperit că platforma nu folosea criptare end-to-end, în ciuda afirmațiilor de marketing. Zoom a văzut, de asemenea, alte probleme de securitate în timpul creșterii popularității sale, cum ar fi participanții nedoriți care blochează întâlniri într-o practică numită „zoombombing”. Ca parte a acordului FTC, Zoom sa angajat să implementeze un „program cuprinzător de securitate”.
„În timpul pandemiei, practic toată lumea - familii, școli, grupuri sociale, companii - folosește videoconferința pentru a comunica, ceea ce face ca securitatea acestor platforme să fie mai critică ca niciodată , Andrew Smith, director al Biroului Consumatorului FTC. Protecția spune în comunicatul de presă al agenției.
„Practicile de securitate Zoom nu s-au aliniat cu promisiunile sale, iar această acțiune va ajuta să vă asigurați că întâlnirile Zoom și datele despre utilizatorii Zoom sunt protejate.”
Control guvernamental
Plângerea FTC susține că Zoom și-a indus în eroare utilizatorii cu privire la mai multe probleme legate de securitate, dintre care cea mai importantă se referă la afirmațiile făcute cu privire la criptarea end-to-end.
S-a spus că Zoom pretinde că oferă criptare end-to-end, pe 256 de biți, pentru apelurile Zoom din 2016, dar a oferit într-adevăr un nivel mai scăzut de securitate. Când criptarea end-to-end este activată, numai participanții la un apel sau la un chat au acces la informațiile schimbate, nu Zoom, guvernul sau orice altă parte.
În plus, plângerea susține că Zoom a stocat întâlniri înregistrate, necriptate pe serverele sale timp de până la 60 de zile, când le-a spus unora dintre utilizatorii săi că vor fi imediat criptate.
O altă problemă se referă la software-ul Mac numit ZoomOpener, care a rămas pe computerele utilizatorilor chiar și atunci când ștergea Zoom și i-ar fi putut face vulnerabili la hackeri. „Acest software a ocolit o setare de securitate a browserului Safari și a pus utilizatorii în pericol – de exemplu, ar fi putut permite străinilor să spioneze utilizatorii prin camerele web ale computerului lor”, explică specialistul în educația consumatorilor FTC, Alvaro Puig, într-o postare pe blog.
Răspunsul lui Zoom
În timp ce Zoom a soluționat recent plângerea FTC, compania a spus Lifewire într-un e-mail că „a rezolvat deja” problemele.
„Securitatea utilizatorilor noștri este o prioritate de top pentru Zoom”, a declarat un purtător de cuvânt al companiei pentru Lifewire într-un e-mail. Zoom a luat mai mulți pași pentru a răspunde acuzațiilor FTC, inclusiv lansarea unui plan de 90 de zile în aprilie, care a oferit peste 100 de funcții legate de confidențialitate și securitate.
Zoom a introdus criptarea end-to-end la sfârșitul lunii octombrie, posibilă prin achiziția în luna mai a unei companii numită Keybase. Criptarea end-to-end este încă în ceea ce Zoom numește modul „previzualizare tehnică”, iar compania spune că serverele Zoom nu au acces la cheile de criptare. Deocamdată, unele funcții sunt restricționate în modul de criptare end-to-end, inclusiv posibilitatea de a participa la întâlnire înaintea gazdei și a sălilor de lucru.
Cum să utilizați criptarea de la capăt la cap la Zoom
Profesorul de informatică de la Universitatea Alabama din Birmingham, Nitesh Saxena, spune că eforturile Zoom de a implementa un adevărat sistem de criptare end-to-end reprezintă un „pas în direcția cea bună”, dar observă că mai este de făcut.
„Există probleme semnificative care trebuie rezolvate înainte ca acest lucru să poată oferi cu adevărat nivelul de securitate pe care utilizatorii l-ar putea solicita de la apelurile Zoom”, spune el.
Saxena, care a studiat pe larg securitatea Zoom, spune că securitatea metodei sale de criptare end-to-end se bazează, în cele din urmă, pe procesul utilizat pentru validarea cheilor criptografice ale participanților la întâlnire (un pas cheie pentru a împiedica interlocutorii să participe la apel).).
În acest caz, utilizatorii verifică ei înșiși acest lucru înainte de a începe întâlnirea. În prima fază a protocolului său de criptare end-to-end a Zoom, gazda întâlnirii citește un cod din 39 de cifre pe care ceilalți trebuie să-l verifice pe ecran.
Practicile de securitate ale Zoom nu s-au conformat cu promisiunile sale, iar această acțiune vă va ajuta să vă asigurați că întâlnirile Zoom și datele despre utilizatorii Zoom sunt protejate.
Conform cercetărilor efectuate de Saxena și echipa sa, această abordare ar putea fi predispusă la erori umane dacă cineva nu acordă atenție și acceptă accidental un cod care nu se potrivește sau omite complet procesul.
De asemenea, gazdele și participanții la întâlnire trebuie să se asigure că activează criptarea end-to-end înainte de a începe întâlnirea, deoarece aceasta nu este activată în mod implicit. Cercetările lui Saxena au mai descoperit că tipurile de coduri numerice pe care Zoom le folosește ar putea fi, de asemenea, predispuse la un anumit tip de atac.
Așadar, utilizatorii Zoom pot simți o oarecare ușurare că platforma a abordat deja principalele probleme de securitate ridicate de plângerea FTC și oferă acum prima fază de criptare end-to-end. Cu toate acestea, participanții la conferință ar trebui să fie conștienți de faptul că utilizarea corectă a noului mod de criptare end-to-end necesită acordarea unei atenții suplimentare atunci când este timpul pentru procesul de validare a codului la începutul apelului.
