Čo pre vás znamená bezpečnostné úsilie Zoomu

Populárna konferenčná platforma Zoom zdokonaľuje svoje bezpečnostné praktiky ako súčasť dohody s Federálna obchodná komisia USA (FTC), po obvineniach agentúry, že zavádzala používateľov o svojej úrovni zabezpečenia.

Zoom sa stal známym v priebehu niekoľkých mesiacov, pričom svet sa obrátil na platformu videokonferencií v dôsledku pandémie, ktorá výrazne obmedzuje osobné stretnutia. Sťažnosť FTC však tvrdila, že spoločnosť Zoom „sa zapojila do série klamlivých a neférových praktík, ktoré podkopali bezpečnosť jej používateľov“.

Toto nasledovalo po kontrole bezpečnostných expertov začiatkom tohto roka, ktorí zistili, že platforma bola

nepoužívajú end-to-end šifrovanie napriek marketingovým tvrdeniam. Zoom sa počas svojej existencie stretol aj s ďalšími bezpečnostnými problémami nárast popularity, ako napríklad nevítaní účastníci zhadzujú stretnutia v praxi s názvom „zoombombovanie.“ V rámci dohody FTC sa spoločnosť Zoom zaviazala implementovať „komplexný bezpečnostný program“.

„Počas pandémie prakticky všetci – rodiny, školy, sociálne skupiny, firmy – využívajú videokonferencie na komunikáciu, bezpečnosť týchto platforiem je kritickejšia ako kedykoľvek predtým,“ povedal Andrew Smith, riaditeľ úradu FTC pre ochranu spotrebiteľov hovorí v tlačovej správe agentúry.

„Bezpečnostné postupy spoločnosti Zoom neboli v súlade s jej sľubmi a táto akcia pomôže zabezpečiť, aby stretnutia a údaje o používateľoch aplikácie Zoom boli chránené.“

Vládna kontrola

Sťažnosť FTC tvrdí, že spoločnosť Zoom zavádzala svojich používateľov o niekoľkých problémoch súvisiacich s bezpečnosťou, z ktorých najdôležitejší sa týka tvrdení o šifrovaní typu end-to-end.

Uvádza sa, že Zoom od roku 2016 tvrdí, že ponúka komplexné 256-bitové šifrovanie pre hovory Zoom, ale v skutočnosti poskytuje nižšiu úroveň zabezpečenia. Keď je povolené šifrovanie typu end-to-end, k vymieňaným informáciám majú prístup iba účastníci hovoru alebo chatu – nie Zoom, vláda ani žiadna iná strana.

Okrem toho sa v sťažnosti uvádza, že spoločnosť Zoom uchovávala na svojich serveroch zaznamenané nešifrované stretnutia až 60 dní, keď niektorým zo svojich používateľov oznámila, že budú okamžite zašifrované.

Ďalší problém sa týka softvéru Mac s názvom ZoomOpener, ktorý zostal na počítačoch používateľov aj pri odstraňovaní Zoom a mohol ich urobiť zraniteľnými voči hackerom. „Tento softvér obišiel nastavenie zabezpečenia prehliadača Safari a vystavil používateľov riziku – napríklad to mohol povoliť cudzinci špehovajú používateľov cez webové kamery ich počítača,“ vysvetľuje špecialista FTC Consumer Education Alvaro Puig v príspevok v blogu.

Zoomova odpoveď

Zatiaľ čo spoločnosť Zoom len nedávno vyriešila sťažnosť FTC, uviedla spoločnosť Lifewire v e-maile, že problémy „už riešil“.

„Bezpečnosť našich používateľov je pre Zoom najvyššou prioritou,“ povedal hovorca spoločnosti Lifewire v e-maile. Zoom podnikol niekoľko krokov, aby reagoval na obvinenia FTC, vrátane spustenia 90-dňového plánu v apríli, ktorý priniesol viac ako 100 funkcií v súvislosti so súkromím a bezpečnosťou.

Spoločnosť Zoom zaviedla koncom októbra end-to-end šifrovanie, čo umožnila májová akvizícia spoločnosti s názvom Keybase. Šifrovanie typu end-to-end je stále v režime, ktorý Zoom nazýva „technický náhľad“, a spoločnosť tvrdí, že servery Zoom nemajú prístup k šifrovacím kľúčom. V súčasnosti sú niektoré funkcie obmedzené v režime end-to-end šifrovania, vrátane možnosti pripojiť sa k schôdzi pred hostiteľom a oddelenými miestnosťami.

Ako používať end-to-end šifrovanie programu Zoom

Profesor informatiky Nitesh Saxena z University of Alabama v Birminghame hovorí, že úsilie spoločnosti Zoom o to implementácia skutočného end-to-end šifrovacieho systému je „krokom správnym smerom“, ale poznamenáva, že stále existuje pracovať.

„Existujú významné problémy, ktoré je potrebné vyriešiť skôr, ako to bude skutočne poskytovať úroveň zabezpečenia, ktorú používatelia môžu požadovať od hovorov Zoom,“ hovorí.

Saxena, ktorá rozsiahlo študovala bezpečnosť spoločnosti Zoom, tvrdí, že bezpečnosť jej metódy end-to-end šifrovania v konečnom dôsledku závisí o procese používanom na overenie kryptografických kľúčov účastníkov stretnutia (kľúčový krok na zabránenie odpočúvania hovor).

V tomto prípade si to používatelia pred začatím stretnutia sami overia. V prvej fáze protokolu end-to-end šifrovania spoločnosti Zoom prečíta hostiteľ stretnutia 39-miestny kód, ktorý ostatní musia skontrolovať na ich obrazovke.

Podľa výskumu Saxena a jeho tímu tento prístup môžu byť náchylné na ľudskú chybu ak niekto nevenuje pozornosť a náhodne prijme kód, ktorý sa nezhoduje alebo proces úplne preskočí.

Hostitelia a účastníci schôdze sa tiež musia pred začatím schôdze uistiť, že povolili šifrovanie typu end-to-end, pretože toto šifrovanie nie je predvolene zapnuté. Výskum spoločnosti Saxena tiež zistil, že typy číselných kódov, ktoré používa Zoom, môžu byť tiež náchylné na a určitý typ útoku.

Používatelia Zoom teda môžu cítiť určitú úľavu, že platforma už riešila hlavné bezpečnostné problémy, ktoré vyvolala sťažnosť FTC, a teraz ponúka prvú fázu šifrovania typu end-to-end. Účastníci konferencie by si však mali byť vedomí správneho používania nového end-to-end šifrovacieho režimu vyžaduje venovať zvýšenú pozornosť, keď je čas na proces overenia kódu na začiatku hovor.