Što Zoomovi sigurnosni napori znače za vas
Ključni za poneti
- Savezna trgovinska komisija SAD-a objavila je 11. 9 da je postigla nagodbu sa Zoomom nakon što je navela da je obmanula korisnike u pogledu sigurnosti.
- Nagodba zahtijeva da Zoom postavi "sveobuhvatan sigurnosni program".
- Zoom kaže da je već riješio probleme, a nedavno je najavio da će uvesti end-to-end enkripciju.
Popularna konferencijska platforma Zum pojačava svoje sigurnosne prakse kao dio nagodbe s Federal Trade Commission (FTC) SAD-a, nakon navoda agencije da je obmanula korisnike o svojoj razini sigurnosti.
Zoom je postao poznato ime u samo nekoliko mjeseci, a svijet se okrenuo svojoj platformi za video konferencije zbog pandemije koja je ozbiljno ograničila sastanke uživo. Međutim, u pritužbi FTC-a se navodi da je Zoom "sudjelovao u nizu obmanjujućih i nepoštenih praksi koje su narušile sigurnost njegovih korisnika".
To je uslijedilo nakon provjere stručnjaka za sigurnost ranije ove godine, koji su otkrili da platforma jest ne koristi end-to-end enkripciju
“Tijekom pandemije, praktički svi – obitelji, škole, društvene grupe, tvrtke – koriste videokonferencije za komunikaciju, čineći sigurnost ovih platformi kritičnijom nego ikad", Andrew Smith, direktor FTC-ovog Ureda za zaštitu potrošača kaže u priopćenju agencije.
"Sigurnosne prakse Zooma nisu u skladu s njegovim obećanjima, a ova će akcija pomoći da se osigura da su Zoom sastanci i podaci o korisnicima Zooma zaštićeni."
Vladin nadzor
U pritužbi FTC-a se navodi da je Zoom obmanuo svoje korisnike o nekoliko sigurnosnih problema, od kojih se najvažniji odnosi na tvrdnje o end-to-end enkripciji.
Rečeno je da Zoom od 2016. godine tvrdi da nudi end-to-end, 256-bitnu enkripciju za Zoom pozive, ali je doista pružio nižu razinu sigurnosti. Kada je omogućeno end-to-end enkripcija, samo sudionici u pozivu ili chatu imaju pristup razmijenjenim informacijama - ne Zoom, vlada ili bilo koja druga strana.
Osim toga, u pritužbi se navodi da je Zoom pohranjivao snimljene, nešifrirane sastanke na svojim poslužiteljima do 60 dana kada je nekim od svojih korisnika rekao da će odmah biti šifrirani.
Drugi problem se odnosi na Mac softver pod nazivom ZoomOpener, koji je ostao na računalima korisnika čak i kada su izbrisali Zoom i mogao ih učiniti ranjivima na hakere. „Ovaj je softver zaobišao sigurnosnu postavku preglednika Safari i doveo korisnike u opasnost—na primjer, mogao je dopustiti stranci špijuniraju korisnike putem web kamera njihovih računala", objašnjava stručnjak za obrazovanje potrošača FTC-a, Alvaro Puig u blog post.
Zoomov odgovor
Dok je Zoom tek nedavno riješio prigovor FTC-a, rekla je tvrtka Lifewire u e-poruci da je "već riješio" probleme.
"Sigurnost naših korisnika je glavni prioritet za Zoom", rekao je glasnogovornik tvrtke Lifewire u e-mailu. Zoom je poduzeo nekoliko koraka kako bi odgovorio na optužbe FTC-a, uključujući pokretanje 90-dnevnog plana u travnju da donosi više od 100 značajki vezano za privatnost i sigurnost.
Zoom je krajem listopada uveo end-to-end enkripciju, što je omogućeno njegovom svibanjskom akvizicijom tvrtke pod nazivom Keybase. Enkripcija od kraja do kraja još uvijek je u načinu kako Zoom naziva "tehnički pregled", a tvrtka kaže da Zoomovi poslužitelji nemaju pristup ključevima za šifriranje. Za sada su neke značajke ograničene u načinu end-to-end enkripcije, uključujući mogućnost pridruživanja sastanku prije domaćina i prostorija za razdvajanje.
Kako koristiti Zoomovu end-to-end enkripciju
Profesor informatike sa Sveučilišta Alabama u Birminghamu Nitesh Saxena kaže da Zoomovi napori da implementacija pravog end-to-end sustava enkripcije je "korak u pravom smjeru", ali napominje da još uvijek postoji posao za obaviti.
"Postoje značajni problemi koje je potrebno riješiti prije nego što ovo zaista može pružiti razinu sigurnosti koju korisnici mogu zahtijevati od Zoom poziva", kaže on.
Saxena, koja je opsežno proučavala sigurnost Zooma, kaže da se sigurnost njegove end-to-end metode šifriranja u konačnici oslanja o postupku koji se koristi za provjeru valjanosti kriptografskih ključeva sudionika sastanka (ključni korak za sprječavanje prisluškivanja poziv).
U tom slučaju korisnici to sami provjeravaju prije početka sastanka. U prvoj fazi Zoomovog protokola end-to-end enkripcije, domaćin sastanka čita 39-znamenkasti kod koji drugi moraju provjeriti na njihovom ekranu.
"Sigurnosne prakse Zooma nisu u skladu s njegovim obećanjima, a ova će akcija pomoći da se osigura da su Zoom sastanci i podaci o korisnicima Zooma zaštićeni."
Prema istraživanju Saxene i njegovog tima, ovaj pristup mogao biti podložan ljudskoj grešci ako netko ne obraća pažnju i slučajno prihvati kod koji ne odgovara ili potpuno preskoči proces.
Također, domaćini i sudionici sastanka moraju se pobrinuti da omoguće end-to-end enkripciju prije početka sastanka, budući da ona nije uključena prema zadanim postavkama. Saxenino istraživanje također je pokazalo da vrste numeričkih kodova koje Zoom koristi također mogu biti sklone a određene vrste napada.
Dakle, korisnici Zooma mogu osjetiti olakšanje jer je platforma već riješila glavne sigurnosne probleme koje je pokrenula pritužba FTC-a, a sada nudi prvu fazu end-to-end enkripcije. Međutim, sudionici konferencije trebali bi biti svjesni da pravilno koriste novi način enkripcije od kraja do kraja zahtijeva dodatnu pažnju kada dođe vrijeme za proces provjere valjanosti koda na početku poziv.