Key Takeaways
- Savezna trgovinska komisija SAD-a objavila je 9. novembra da je postigla nagodbu sa Zoom-om nakon što je navela da je obmanuo korisnike u pogledu sigurnosti.
- Za poravnanje je potreban Zoom da postavi "sveobuhvatni sigurnosni program".
- Zoom kaže da je već riješio probleme, a nedavno je najavio da će uvesti end-to-end enkripciju.
Popularna konferencijska platforma Zoom pojačava svoje sigurnosne prakse kao dio nagodbe sa američkom Federalnom trgovinskom komisijom (FTC), nakon navoda agencije da je obmanula korisnike o svom nivou sigurnosti.
Zoom je postao poznato ime za samo nekoliko mjeseci, a svijet se okrenuo svojoj platformi za video konferencije zbog pandemije koja je ozbiljno ograničila lične sastanke. Međutim, u pritužbi FTC-a se navodi da se Zoom "upustio u niz obmanjujućih i nepoštenih praksi koje su narušile sigurnost njegovih korisnika."
Ovo je uslijedilo nakon provjere stručnjaka za sigurnost ranije ove godine, koji su otkrili da platforma ne koristi end-to-end enkripciju uprkos marketinškim tvrdnjama. Zoom je također vidio i druge sigurnosne probleme tokom svog porasta popularnosti, kao što su neželjeni učesnici koji su rušili sastanke u praksi zvanoj "zumbombovanje". Kao dio FTC nagodbe, Zoom se obavezao na implementaciju "sveobuhvatnog sigurnosnog programa."
"Tokom pandemije, praktično svi - porodice, škole, društvene grupe, preduzeća - koriste video konferencije za komunikaciju, čineći sigurnost ovih platformi važnijom nego ikad", Andrew Smith, direktor FTC-ovog Biroa za potrošače Zaštita kaže u saopštenju agencije.
"Zoomove sigurnosne prakse nisu bile u skladu sa obećanjima, a ova akcija će pomoći da se osigura da su Zoom sastanci i podaci o Zoom korisnicima zaštićeni."
Vladna kontrola
Žalba FTC-a navodi da je Zoom obmanuo svoje korisnike o nekoliko sigurnosnih problema, od kojih se najvažniji odnosi na tvrdnje o end-to-end enkripciji.
Rečeno je da Zoom tvrdi da nudi end-to-end, 256-bitnu enkripciju za Zoom pozive od 2016. godine, ali zaista pruža niži nivo sigurnosti. Kada je omogućeno end-to-end enkripcija, samo učesnici u pozivu ili chatu imaju pristup razmijenjenim informacijama - ne Zoom, vlada ili bilo koja druga strana.
Pored toga, u pritužbi se navodi da je Zoom čuvao snimljene, nešifrovane sastanke na svojim serverima do 60 dana kada je nekim od svojih korisnika rekao da će odmah biti šifrovani..
Još jedan problem se odnosi na Mac softver pod nazivom ZoomOpener, koji je ostao na računarima korisnika čak i kada su izbrisali Zoom i mogao ih učiniti ranjivim na hakere. "Ovaj softver je zaobišao sigurnosnu postavku preglednika Safari i izložio korisnike riziku - na primjer, mogao je dozvoliti strancima da špijuniraju korisnike preko web kamera njihovih računara", objašnjava stručnjak za obrazovanje potrošača FTC-a, Alvaro Puig, u blog postu.
Zoomov odgovor
Dok je Zoom tek nedavno riješio žalbu FTC-a, kompanija je rekla Lifewire-u u e-poruci da je "već riješila" probleme.
"Sigurnost naših korisnika je glavni prioritet za Zoom", rekao je portparol kompanije za Lifewire u e-poruci. Zoom je poduzeo nekoliko koraka da odgovori na optužbe FTC-a, uključujući pokretanje 90-dnevnog plana u aprilu koji je dao više od 100 funkcija vezanih za privatnost i sigurnost.
Zoom je uveo end-to-end enkripciju krajem oktobra, što je omogućeno njegovom majskom akvizicijom kompanije pod nazivom Keybase. Enkripcija od kraja do kraja je još uvijek u načinu kako Zoom naziva "tehnički pregled", a kompanija kaže da Zoomovi serveri nemaju pristup ključevima za šifriranje. Za sada su neke funkcije ograničene u načinu enkripcije od kraja do kraja, uključujući mogućnost pridruživanja sastanku prije domaćina i soba za razdvajanje.
Kako koristiti Zoom-ovo end-to-end enkripciju
Profesor informatike Nitesh Saxena sa Univerziteta Alabama u Birminghamu kaže da su napori Zooma da implementira istinski end-to-end enkripcijski sistem "korak u pravom smjeru", ali napominje da još ima posla.
"Postoje značajni problemi koje treba riješiti prije nego što ovo zaista može pružiti nivo sigurnosti koji korisnici mogu zahtijevati od Zoom poziva," kaže on.
Saxena, koja je opširno proučavala Zoomovu sigurnost, kaže da se sigurnost njegove end-to-end metode šifriranja u konačnici oslanja na proces koji se koristi za validaciju kriptografskih ključeva učesnika sastanka (ključni korak za sprečavanje prisluškivanja od poziva).
U ovom slučaju, korisnici to sami provjeravaju prije početka sastanka. U prvoj fazi Zoom-ovog protokola end-to-end enkripcije, domaćin sastanka čita 39-cifreni kod koji ostali moraju provjeriti na svom ekranu.
Zoomove sigurnosne prakse nisu bile u skladu s njegovim obećanjima, a ova akcija će pomoći da se osigura da su Zoom sastanci i podaci o Zoom korisnicima zaštićeni.
Prema istraživanju Saxene i njegovog tima, ovaj pristup bi mogao biti sklon ljudskoj grešci ako neko ne obraća pažnju i slučajno prihvati kod koji se ne podudara ili potpuno preskoči proces..
Također, domaćini sastanka i učesnici moraju se pobrinuti da omoguće end-to-end enkripciju prije početka sastanka, jer ono nije uključeno po defaultu. Saxenino istraživanje je također otkrilo da tipovi numeričkih kodova koje Zoom koristi također mogu biti skloni određenoj vrsti napada.
Dakle, korisnici Zooma mogu osjetiti olakšanje jer je platforma već riješila glavne sigurnosne probleme pokrenute u FTC žalbi, i sada nudi prvu fazu end-to-end enkripcije. Međutim, učesnici konferencije trebaju biti svjesni da pravilno korištenje novog end-to-end načina enkripcije zahtijeva dodatnu pažnju kada dođe vrijeme za proces validacije koda na početku poziva.