Hva Zooms sikkerhetsinnsats betyr for deg

December 02, 2021
INyheter Internett Sikkerhet

Viktige takeaways

U.S. Federal Trade Commission kunngjorde i november. 9 at det hadde inngått et forlik med Zoom etter å ha påstått at det villedet brukere angående sikkerhet.
Forliket krever at Zoom får på plass et "omfattende sikkerhetsprogram".
Zoom sier at de allerede har tatt tak i problemene, og kunngjorde nylig at de ville introdusere ende-til-ende-kryptering.

Noen på en videosamtale mens han jobber hjemmefra. — Ariel Skelley / Getty Images

Den populære konferanseplattformen Zoom skjerper sin sikkerhetspraksis som en del av et oppgjør med U.S. Federal Trade Commission (FTC), etter byråets påstander om at det villedet brukere om sikkerhetsnivået.

Zoom har blitt et kjent navn i løpet av bare noen få måneder, og verden har vendt seg til sin videokonferanseplattform på grunn av pandemien som sterkt begrenser personlige møter. En FTC-klage hevdet imidlertid at Zoom "engasjerte seg i en rekke villedende og urettferdig praksis som undergravde sikkerheten til brukerne."

Dette fulgte gransking fra sikkerhetseksperter tidligere i år, som fant at plattformen var

ikke bruker ende-til-ende-kryptering til tross for markedsføringspåstander. Zoom har også sett andre sikkerhetsproblemer underveis øke i popularitet, for eksempel uvelkomne deltakere som krasjer møter i en praksis kalt "zoombombing." Som en del av FTC-oppgjøret har Zoom forpliktet seg til å implementere et "omfattende sikkerhetsprogram."

"Under pandemien bruker praktisk talt alle – familier, skoler, sosiale grupper, bedrifter – videokonferanser for å kommunisere, gjør sikkerheten til disse plattformene mer kritisk enn noen gang," Andrew Smith, direktør for FTCs Bureau of Consumer Protection sier i byråets pressemelding.

"Zooms sikkerhetspraksis stemte ikke overens med løftene, og denne handlingen vil bidra til å sikre at Zoom-møter og data om Zoom-brukere er beskyttet."

Regjeringens gransking

FTC-klagen hevder at Zoom villedet brukerne sine om flere sikkerhetsrelaterte problemer, hvorav den viktigste er relatert til påstander om ende-til-ende-kryptering.

En person på en konferansesamtale på en bærbar datamaskin. — fizkes / Getty Images

Den sa at Zoom har hevdet å tilby ende-til-ende, 256-bit kryptering for Zoom-anrop siden 2016, men virkelig gitt et lavere sikkerhetsnivå. Når ende-til-ende-kryptering er aktivert, har bare deltakere i en samtale eller chat tilgang til informasjon som utveksles – ikke Zoom, myndighetene eller noen annen part.

I tillegg hevder klagen at Zoom lagret registrerte, ukrypterte møter på serverne sine i opptil 60 dager når den hadde fortalt noen av brukerne at de umiddelbart ville bli kryptert.

Et annet problem er knyttet til Mac-programvare kalt ZoomOpener, som ble værende på brukernes datamaskiner selv når de slettet Zoom og kunne ha gjort dem sårbare for hackere. "Denne programvaren omgikk en sikkerhetsinnstilling i Safari-nettleseren og satte brukere i fare – for eksempel kunne den ha tillatt fremmede kan spionere på brukere gjennom datamaskinens nettkameraer," forklarer FTC Consumer Education Specialist, Alvaro Puig, i en blogg innlegg.

Zooms svar

Mens Zoom først nylig avgjorde FTC-klagen, fortalte selskapet Lifewire i en e-post at den "allerede har tatt tak i" problemene.

"Sikkerheten til brukerne våre er en toppprioritet for Zoom," sa en talsperson for selskapet Lifewire i en e-post. Zoom har tatt flere skritt for å svare på FTCs påstander, inkludert lanseringen av en 90-dagers plan i april som ga mer enn 100 funksjoner knyttet til personvern og sikkerhet.

Endpoint Security Safe System Protection 3d illustrasjon — stuartmiles99 / Getty Images

Zoom introduserte ende-til-ende-kryptering i slutten av oktober, muliggjort av oppkjøpet av et selskap kalt Keybase i mai. End-to-end-krypteringen er fortsatt i det Zoom kaller "technical preview"-modus, og selskapet sier at Zooms servere ikke har tilgang til krypteringsnøklene. Foreløpig er noen funksjoner begrenset i ende-til-ende-krypteringsmodus, inkludert muligheten til å bli med i møtet før verten og grupperom.

Slik bruker du Zooms ende-til-ende-kryptering

University of Alabama i Birmingham, professor i datavitenskap Nitesh Saxena sier at Zooms innsats for å implementere et ekte ende-til-ende krypteringssystem er et "steg i riktig retning", men bemerker at det fortsatt er jobb å gjøre.

"Det er betydelige problemer som må løses før dette virkelig kan gi det sikkerhetsnivået som brukere kan kreve fra Zoom-samtaler," sier han.

Saxena, som har studert Zooms sikkerhet grundig, sier at sikkerheten til ende-til-ende-krypteringsmetoden til syvende og sist er avhengig av på prosessen som brukes til å validere møtedeltakernes kryptografiske nøkler (et nøkkeltrinn for å holde avlyttere unna anrop).

I dette tilfellet sjekker brukerne dette selv før møtet starter. I Zooms første fase av sin ende-til-ende-krypteringsprotokoll leser møteverten en 39-sifret kode som andre må sjekke på skjermen deres.

"Zooms sikkerhetspraksis stemte ikke overens med løftene, og denne handlingen vil bidra til å sikre at Zoom-møter og data om Zoom-brukere er beskyttet."

Ifølge forskning fra Saxena og teamet hans, denne tilnærmingen kan være utsatt for menneskelige feil hvis noen ikke følger med og ved et uhell godtar en kode som ikke samsvarer eller hopper over prosessen helt.

Møteverter og deltakere må også sørge for at de aktiverer ende-til-ende-kryptering før møtet starter, siden det ikke er slått på som standard. Saxenas forskning fant også at typene numeriske koder Zoom bruker også kan være utsatt for bestemt type angrep.

Så Zoom-brukere kan føle en viss lettelse over at plattformen allerede har adressert de viktigste sikkerhetsproblemene som ble reist av FTC-klagen, og tilbyr nå den første fasen av ende-til-ende-kryptering. Konferansedeltakere bør imidlertid være klar over at bruk av den nye ende-til-ende-krypteringsmodusen på riktig måte krever ekstra oppmerksomhet når det er tid for kodevalideringsprosessen i begynnelsen av anrop.