Wat de beveiligingsinspanningen van Zoom voor u betekenen?

Het populaire vergaderplatform Zoom versterkt zijn beveiligingspraktijken als onderdeel van een schikking met de Amerikaanse Federal Trade Commission (FTC), naar aanleiding van de beschuldigingen van het bureau dat het gebruikers heeft misleid over het beveiligingsniveau.

Zoom is in slechts een paar maanden tijd een begrip geworden, waarbij de wereld zich wendt tot zijn videoconferentieplatform vanwege de pandemie die persoonlijke vergaderingen ernstig beperkt. Een FTC-klacht beweerde echter dat Zoom "zich bezighield met een reeks bedrieglijke en oneerlijke praktijken die de veiligheid van zijn gebruikers ondermijnden".

Dit volgde op onderzoek door beveiligingsexperts eerder dit jaar, die vonden dat het platform niet goed was geen end-to-end-encryptie gebruiken ondanks marketingclaims. Zoom heeft ook andere beveiligingsproblemen gezien tijdens zijn stijgen in populariteit, zoals ongewenste deelnemers die vergaderingen crashen in een praktijk genaamd "zoombombardementAls onderdeel van de FTC-schikking heeft Zoom toegezegd een "uitgebreid beveiligingsprogramma" te implementeren.

"Tijdens de pandemie gebruikt praktisch iedereen - gezinnen, scholen, sociale groepen, bedrijven - videoconferenties om te communiceren, waardoor de beveiliging van deze platforms belangrijker dan ooit is", zegt Andrew Smith, directeur van het Bureau of Consumer Protection van de FTC zegt in het persbericht van het bureau.

"De beveiligingspraktijken van Zoom kwamen niet overeen met zijn beloften, en deze actie zal ervoor zorgen dat Zoom-vergaderingen en gegevens over Zoom-gebruikers worden beschermd."

Overheidstoezicht

De FTC-klacht beweert dat Zoom zijn gebruikers heeft misleid over verschillende beveiligingsgerelateerde problemen, waarvan de belangrijkste betrekking heeft op claims over end-to-end-codering.

Het zei dat Zoom beweert sinds 2016 end-to-end, 256-bit encryptie voor Zoom-oproepen aan te bieden, maar in werkelijkheid een lager beveiligingsniveau bood. Wanneer end-to-end-codering is ingeschakeld, hebben alleen deelnemers aan een gesprek of chat toegang tot uitgewisselde informatie, niet Zoom, de overheid of een andere partij.

Bovendien wordt in de klacht beweerd dat Zoom opgenomen, niet-versleutelde vergaderingen tot 60 dagen op zijn servers heeft opgeslagen toen het enkele van zijn gebruikers had verteld dat ze onmiddellijk zouden worden versleuteld.

Een ander probleem heeft betrekking op Mac-software genaamd ZoomOpener, die op de computers van gebruikers bleef staan, zelfs bij het verwijderen van Zoom en ze kwetsbaar had kunnen maken voor hackers. "Deze software omzeilde een beveiligingsinstelling van de Safari-browser en bracht gebruikers in gevaar - het had bijvoorbeeld kunnen toestaan ​​dat vreemden om gebruikers te bespioneren via de webcamera's van hun computer", legt FTC Consumer Education Specialist, Alvaro Puig, uit in een blogpost.

Reactie van Zoom

Terwijl Zoom pas onlangs de FTC-klacht heeft afgehandeld, vertelde het bedrijf aan: reddingsdraad in een e-mail dat het de problemen "reeds heeft aangepakt".

"De veiligheid van onze gebruikers is een topprioriteit voor Zoom", zegt een woordvoerder van het bedrijf reddingsdraad in een e-mail. Zoom heeft verschillende stappen ondernomen om te reageren op de beschuldigingen van de FTC, waaronder de lancering van een 90-dagenplan in april dat leverde meer dan 100 functies op gerelateerd aan privacy en veiligheid.

Zoom heeft eind oktober end-to-end-codering geïntroduceerd, mogelijk gemaakt door de overname in mei van een bedrijf genaamd Keybase. De end-to-end-codering bevindt zich nog steeds in wat Zoom de "technische preview" -modus noemt, en het bedrijf zegt dat de servers van Zoom geen toegang hebben tot de coderingssleutels. Voorlopig zijn sommige functies beperkt in de end-to-end-coderingsmodus, inclusief de mogelijkheid om deel te nemen aan de vergadering vóór de host en de brainstormruimten.

Zoom's end-to-end-codering gebruiken?

Nitesh Saxena, hoogleraar computerwetenschappen aan de Universiteit van Alabama in Birmingham, zegt dat de inspanningen van Zoom om het implementeren van een echt end-to-end encryptiesysteem is een "stap in de goede richting", maar merkt op dat er nog steeds werk te doen.

"Er zijn belangrijke problemen die moeten worden aangepakt voordat dit echt het beveiligingsniveau kan bieden dat gebruikers van Zoom-oproepen kunnen verwachten", zegt hij.

Saxena, die de beveiliging van Zoom uitgebreid heeft bestudeerd, zegt dat de beveiliging van de end-to-end encryptiemethode uiteindelijk afhankelijk is van over het proces dat wordt gebruikt om de cryptografische sleutels van deelnemers aan de vergadering te valideren (een belangrijke stap om afluisteraars buiten de deur te houden) telefoongesprek).

In dit geval controleren gebruikers dit zelf voordat ze de vergadering starten. In Zoom's eerste fase van zijn end-to-end-coderingsprotocol leest de host van de vergadering een 39-cijferige code die de anderen moeten controleren op hun scherm.

Volgens onderzoek van Saxena en zijn team is deze aanpak vatbaar zijn voor menselijke fouten als iemand niet oplet en per ongeluk een code accepteert die niet overeenkomt of het proces volledig overslaat.

Hosts en deelnemers van vergaderingen moeten er ook voor zorgen dat ze end-to-end-codering inschakelen voordat ze de vergadering starten, aangezien deze niet standaard is ingeschakeld. Uit het onderzoek van Saxena bleek ook dat de soorten numerieke codes die Zoom gebruikt, ook vatbaar kunnen zijn voor a bepaald type aanval.

Zoom-gebruikers kunnen dus enige opluchting voelen dat het platform de belangrijkste beveiligingsproblemen die door de FTC-klacht naar voren zijn gebracht al heeft aangepakt en nu de eerste fase van end-to-end-codering biedt. Conferentiedeelnemers moeten zich er echter van bewust zijn dat het correct gebruiken van de nieuwe end-to-end-coderingsmodus vereist extra aandacht wanneer het tijd is voor het codevalidatieproces aan het begin van de telefoongesprek.