Hvad Zooms sikkerhedsindsats betyder for dig

Den populære konferenceplatform Zoom skærper sin sikkerhedspraksis som led i et forlig med U.S. Federal Trade Commission (FTC), efter bureauets påstande om, at det vildledte brugere om dets sikkerhedsniveau.

Zoom er blevet et kendt navn i løbet af få måneder, hvor verden har vendt sig til sin videokonferenceplatform på grund af pandemien, der i høj grad begrænser personlige møder. Imidlertid hævdede en FTC-klage, at Zoom "deltog i en række vildledende og uretfærdig praksis, der underminerede brugernes sikkerhed."

Dette fulgte efter undersøgelse fra sikkerhedseksperter tidligere på året, som fandt ud af, at platformen var

ikke bruger ende-til-ende-kryptering trods markedsføringspåstande. Zoom har også set andre sikkerhedsproblemer under sin stigende popularitet, såsom uvelkomne deltagere, der styrter møder i en praksis kaldet "zoombombning." Som en del af FTC-forliget har Zoom forpligtet sig til at implementere et "omfattende sikkerhedsprogram."

"Under pandemien bruger praktisk talt alle - familier, skoler, sociale grupper, virksomheder - videokonferencer til at kommunikere, gør sikkerheden på disse platforme mere kritisk end nogensinde," Andrew Smith, direktør for FTC's Bureau of Consumer Protection siger i styrelsens pressemeddelelse.

"Zooms sikkerhedspraksis stemte ikke overens med dets løfter, og denne handling vil hjælpe med at sikre, at Zoom-møder og data om Zoom-brugere er beskyttet."

Regeringens kontrol

FTC-klagen hævder, at Zoom vildledte sine brugere om adskillige sikkerhedsrelaterede problemer, hvoraf det vigtigste vedrører påstande om end-to-end-kryptering.

Det sagde, at Zoom har hævdet at tilbyde end-to-end, 256-bit kryptering til Zoom-opkald siden 2016, men virkelig givet et lavere sikkerhedsniveau. Når ende-til-ende-kryptering er aktiveret, er det kun deltagere i et opkald eller chat, der har adgang til udvekslet information – ikke Zoom, regeringen eller nogen anden part.

Derudover hævdes det i klagen, at Zoom opbevarede optagede, ukrypterede møder på sine servere i op til 60 dage, når det havde fortalt nogle af sine brugere, at de straks ville blive krypteret.

Et andet problem vedrører Mac-software kaldet ZoomOpener, som blev på brugernes computere, selv når Zoom blev slettet og kunne have gjort dem sårbare over for hackere. "Denne software omgik en sikkerhedsindstilling for Safari-browseren og satte brugerne i fare - for eksempel kunne den have tilladt fremmede til at spionere på brugere gennem deres computers webkameraer," forklarer FTC Consumer Education Specialist, Alvaro Puig. i en blogindlæg.

Zooms svar

Mens Zoom først for nylig afgjorde FTC-klagen, fortalte virksomheden Lifewire i en e-mail, at den "allerede har rettet" problemerne.

"Sikkerheden for vores brugere er en topprioritet for Zoom," fortalte en talsmand for virksomheden Lifewire i en e-mail. Zoom har taget flere skridt for at reagere på FTC's påstande, herunder lanceringen af ​​en 90-dages plan i april, der gav mere end 100 funktioner relateret til privatliv og sikkerhed.

Zoom introducerede ende-til-ende-kryptering i slutningen af ​​oktober, muliggjort af opkøbet i maj af et firma kaldet Keybase. End-to-end-krypteringen er stadig i, hvad Zoom kalder "technical preview"-tilstand, og virksomheden siger, at Zooms servere ikke har adgang til krypteringsnøglerne. Indtil videre er nogle funktioner begrænset i end-to-end-krypteringstilstand, inklusive muligheden for at deltage i mødet før værten og grupperum.

Sådan bruger du Zooms ende-til-ende-kryptering

University of Alabama i Birmingham, professor i datalogi, Nitesh Saxena, siger, at Zooms bestræbelser på at implementere et ægte end-to-end krypteringssystem er et "trin i den rigtige retning", men bemærker, at der stadig er arbejde at gøre.

"Der er væsentlige problemer, der skal løses, før dette virkelig kan give det sikkerhedsniveau, som brugere kan kræve af Zoom-opkald," siger han.

Saxena, som har studeret Zooms sikkerhed grundigt, siger, at sikkerheden ved dens end-to-end krypteringsmetode i sidste ende afhænger af om den proces, der bruges til at validere mødedeltagernes kryptografiske nøgler (et nøgletrin til at holde aflyttere ude af opkald).

I dette tilfælde tjekker brugerne selv dette, før de starter mødet. I Zooms første fase af sin ende-til-ende-krypteringsprotokol læser mødeværten en 39-cifret kode, som andre skal tjekke på deres skærm.

Ifølge forskning fra Saxena og hans team, denne tilgang kan være tilbøjelige til menneskelige fejl hvis nogen ikke er opmærksomme og ved et uheld accepterer en kode, der ikke stemmer overens, eller springer processen helt over.

Mødeværter og deltagere skal også sikre sig, at de aktiverer ende-til-ende-kryptering, før mødet startes, da det ikke er slået til som standard. Saxenas forskning fandt også, at de typer numeriske koder, Zoom bruger, også kan være tilbøjelige til at bestemt type angreb.

Så Zoom-brugere kan føle en vis lettelse over, at platformen allerede har behandlet de vigtigste sikkerhedsproblemer, som FTC-klagen rejser, og nu tilbyder den første fase af end-to-end-kryptering. Konferencedeltagere skal dog være opmærksomme på, at man bruger den nye end-to-end-krypteringstilstand korrekt kræver, at man er ekstra opmærksom, når det er tid til kodevalideringsprocessen i begyndelsen af opkald.