Mitä Zoomin tietoturvatoimet merkitsevät sinulle
Avaimet takeawayt
- Yhdysvaltain liittovaltion kauppakomissio ilmoitti marraskuussa. 9, että se oli päässyt sovintoon Zoomin kanssa väitettyään, että se oli johtanut käyttäjiä harhaan turvallisuuden suhteen.
- Sovittelu edellyttää, että Zoom ottaa käyttöön "kattavan tietoturvaohjelman".
- Zoom sanoo, että se on jo käsitellyt ongelmat ja ilmoitti äskettäin ottavansa käyttöön päästä päähän -salauksen.
Suosittu neuvottelualusta Zoomaus vahvistaa turvallisuuskäytäntöjään osana sopimusta Yhdysvaltain liittovaltion kauppakomissio (FTC)viraston väitteiden johdosta, että se on johtanut käyttäjiä harhaan tietoturvatasonsa suhteen.
Zoomista on tullut tuttu nimi muutamassa kuukaudessa, ja maailma on siirtynyt sen videoneuvottelualustaan pandemian vuoksi, joka rajoittaa vakavasti henkilökohtaisia tapaamisia. FTC: n kantelussa väitettiin kuitenkin, että Zoom "osallistui sarjaan petollisia ja epäreiluja käytäntöjä, jotka heikensivät sen käyttäjien turvallisuutta".
Tämä seurasi tietoturva-asiantuntijoiden tarkastusta aiemmin tänä vuonna, ja he havaitsivat, että alusta oli
Pandemian aikana käytännössä kaikki – perheet, koulut, sosiaaliset ryhmät, yritykset – käyttävät videoneuvotteluja viestiäkseen, tehdä näiden alustojen turvallisuudesta kriittisempi kuin koskaan", Andrew Smith, FTC: n kuluttajansuojaviraston johtaja sanoo viraston lehdistötiedotteessa.
"Zoomin tietoturvakäytännöt eivät vastanneet sen lupauksia, ja tämä toimenpide auttaa varmistamaan, että Zoom-kokoukset ja Zoomin käyttäjien tiedot ovat suojattuja."
Hallituksen valvonta
FTC: n valitus väittää, että Zoom on johtanut käyttäjiään harhaan useissa turvallisuuteen liittyvissä asioissa, joista tärkein liittyy päästä päähän -salausta koskeviin väitteisiin.
Se sanoi, että Zoom on väittänyt tarjoavansa päästä päähän, 256-bittistä salausta Zoom-puheluille vuodesta 2016 lähtien, mutta todella tarjonnut alhaisemman turvallisuustason. Kun päästä päähän -salaus on käytössä, vain puhelun tai chatin osallistujat pääsevät käsiksi vaihdettuun tietoon – ei Zoom, hallitus tai mikään muu osapuoli.
Lisäksi valituksessa väitetään, että Zoom tallensi tallennettuja, salaamattomia kokouksia palvelimilleen jopa 60 päivän ajan, kun se oli kertonut joillekin käyttäjilleen, että ne salataan välittömästi.
Toinen ongelma liittyy Mac-ohjelmistoon nimeltä ZoomOpener, joka pysyi käyttäjien tietokoneissa jopa Zoomin poistamisen aikana ja olisi voinut tehdä heistä haavoittuvia hakkereille. "Tämä ohjelmisto ohitti Safari-selaimen suojausasetuksen ja asetti käyttäjät vaaraan – se olisi esimerkiksi voinut sallia vieraita vakoilemaan käyttäjiä tietokoneiden verkkokameroiden kautta", FTC: n kuluttajakoulutusasiantuntija Alvaro Puig selittää. jonkin sisällä blogipostaus.
Zoomin vastaus
Vaikka Zoom vasta äskettäin ratkaisi FTC: n valituksen, yritys kertoi Lifewire sähköpostissa, että se on "jo käsitellyt" ongelmat.
"Käyttäjiemme turvallisuus on Zoomille etusijalla", yhtiön tiedottaja kertoi Lifewire sähköpostissa. Zoom on ryhtynyt useisiin toimiin vastatakseen FTC: n väitteisiin, mukaan lukien 90 päivän suunnitelman käynnistäminen huhtikuussa. tuotti yli 100 ominaisuutta liittyvät yksityisyyteen ja turvallisuuteen.
Zoom otti käyttöön päästä päähän -salauksen lokakuun lopulla, minkä mahdollisti sen toukokuussa ostettu Keybase-niminen yritys. Päästä päähän -salaus on edelleen siinä, mitä Zoom kutsuu "tekniseksi esikatseluksi", ja yritys sanoo, että Zoomin palvelimilla ei ole pääsyä salausavaimiin. Toistaiseksi jotkin ominaisuudet on rajoitettu päästä päähän -salaustilassa, mukaan lukien mahdollisuus liittyä kokoukseen ennen isäntä- ja pienryhmähuoneita.
Kuinka käyttää Zoomin päästä päähän -salausta
Alabaman yliopisto Birminghamissa tietojenkäsittelytieteen professori Nitesh Saxena sanoo, että Zoomin pyrkimykset todellisen päästä päähän -salausjärjestelmän käyttöönotto on "askel oikeaan suuntaan", mutta toteaa, että töitä tehtävänä.
"On olemassa merkittäviä ongelmia, jotka on ratkaistava, ennen kuin tämä voi todella tarjota sen tietoturvatason, jota käyttäjät voivat vaatia Zoom-puheluilta", hän sanoo.
Saxena, joka on tutkinut Zoomin turvallisuutta laajasti, sanoo, että sen päästä päähän -salausmenetelmän turvallisuus riippuu viime kädessä prosessista, jota käytetään kokouksen osallistujien salausavainten vahvistamiseen (avainvaihe salakuuntelijoiden poissa pitämiseksi soittaa puhelimella).
Tässä tapauksessa käyttäjät tarkistavat tämän itse ennen kokouksen aloittamista. Zoomin päästä päähän -salausprotokollan ensimmäisessä vaiheessa kokouksen isäntä lukee 39-numeroisen koodin, jonka muiden pitää tarkistaa heidän näytöllään.
"Zoomin tietoturvakäytännöt eivät vastanneet sen lupauksia, ja tämä toimenpide auttaa varmistamaan, että Zoom-kokoukset ja Zoomin käyttäjien tiedot ovat suojattuja."
Saxenan ja hänen tiiminsä tutkimuksen mukaan tämä lähestymistapa voi olla altis inhimillisille virheille jos joku ei kiinnitä huomiota ja hyväksyy vahingossa koodin, joka ei täsmää tai ohittaa prosessin kokonaan.
Kokouksen isäntien ja osallistujien on myös varmistettava, että he ottavat käyttöön päästä päähän -salauksen ennen kokouksen aloittamista, koska se ei ole oletusarvoisesti käytössä. Saxenan tutkimuksessa havaittiin myös, että Zoomin käyttämät numeeriset koodityypit voivat myös olla alttiita tietyntyyppinen hyökkäys.
Joten Zoomin käyttäjät voivat tuntea helpotusta siitä, että alusta on jo käsitellyt tärkeimmät FTC-valituksen herättämät turvallisuusongelmat ja tarjoaa nyt päästä päähän -salauksen ensimmäisen vaiheen. Konferenssin osallistujien tulee kuitenkin olla tietoisia siitä, että uutta päästä päähän -salaustilaa käytetään oikein vaatii erityistä huomiota, kun on koodin vahvistusprosessin aika koodin alussa soittaa puhelimella.