ปิด
เมนู

ความพยายามด้านความปลอดภัยของ Zoom มีความหมายต่อคุณอย่างไร

click fraud protection

ประเด็นที่สำคัญ

  • คณะกรรมาธิการการค้าแห่งสหพันธรัฐของสหรัฐฯ ประกาศเมื่อพฤศจิกายน 9 ว่าได้บรรลุข้อตกลงกับ Zoom หลังจากกล่าวหาว่าผู้ใช้เข้าใจผิดเกี่ยวกับความปลอดภัย
  • ข้อตกลงดังกล่าวกำหนดให้ Zoom วาง "โปรแกรมความปลอดภัยที่ครอบคลุม" เข้าที่
  • Zoom กล่าวว่าได้แก้ไขปัญหาแล้ว และเพิ่งประกาศว่าจะแนะนำการเข้ารหัสแบบ end-to-end
ใครบางคนกำลังสนทนาทางวิดีโอขณะทำงานจากที่บ้าน
รูปภาพ Ariel Skelley / Getty 

แพลตฟอร์มการประชุมยอดนิยม ซูม กำลังเสริมแนวปฏิบัติด้านความปลอดภัยซึ่งเป็นส่วนหนึ่งของข้อตกลงกับ คณะกรรมาธิการการค้าแห่งสหพันธรัฐของสหรัฐอเมริกา (FTC)ตามข้อกล่าวหาของหน่วยงานที่ทำให้ผู้ใช้เข้าใจผิดเกี่ยวกับระดับความปลอดภัย

Zoom ได้กลายเป็นชื่อสามัญภายในเวลาเพียงไม่กี่เดือน โดยโลกได้เปลี่ยนไปใช้แพลตฟอร์มการประชุมทางวิดีโอเนื่องจากการแพร่ระบาดของโรคได้จำกัดการประชุมแบบตัวต่อตัวอย่างรุนแรง อย่างไรก็ตาม การร้องเรียนของ FTC กล่าวหาว่า Zoom "มีส่วนร่วมในการกระทำที่หลอกลวงและไม่เป็นธรรมหลายชุดที่บ่อนทำลายความปลอดภัยของผู้ใช้"

ตามมาด้วยการตรวจสอบจากผู้เชี่ยวชาญด้านความปลอดภัยเมื่อต้นปีนี้ ซึ่งพบว่าแพลตฟอร์มดังกล่าว ไม่ใช้การเข้ารหัสจากต้นทางถึงปลายทาง แม้จะมีการเรียกร้องทางการตลาด Zoom ยังพบปัญหาด้านความปลอดภัยอื่นๆ ในระหว่างการ

ความนิยมเพิ่มขึ้นเช่นผู้ไม่ต้อนรับผู้ชุมนุมชนกันในลักษณะปฏิบัติที่เรียกว่า "ซูมบอมบ์เป็นส่วนหนึ่งของข้อตกลง FTC Zoom มุ่งมั่นที่จะใช้ "โปรแกรมความปลอดภัยที่ครอบคลุม"

"ในช่วงการแพร่ระบาด แทบทุกคน ไม่ว่าจะเป็นครอบครัว โรงเรียน กลุ่มสังคม ธุรกิจต่างๆ กำลังใช้การประชุมทางวิดีโอเพื่อสื่อสาร ทำให้ความปลอดภัยของแพลตฟอร์มเหล่านี้มีความสำคัญมากกว่าที่เคย" แอนดรูว์ สมิธ ผู้อำนวยการสำนักคุ้มครองผู้บริโภคของ FTC พูดว่า ในการแถลงข่าวของหน่วยงาน

"แนวทางปฏิบัติด้านความปลอดภัยของ Zoom ไม่สอดคล้องกับคำมั่นสัญญา และการดำเนินการนี้จะช่วยให้แน่ใจว่าการประชุม Zoom และข้อมูลเกี่ยวกับผู้ใช้ Zoom ได้รับการปกป้อง"

การพิจารณาของรัฐบาล

การร้องเรียนของ FTC อ้างว่า Zoom ทำให้ผู้ใช้เข้าใจผิดเกี่ยวกับปัญหาด้านความปลอดภัยหลายประการ ซึ่งสำคัญที่สุดเกี่ยวข้องกับการอ้างสิทธิ์เกี่ยวกับการเข้ารหัสจากต้นทางถึงปลายทาง

บุคคลในการประชุมทางโทรศัพท์บนแล็ปท็อป
รูปภาพ fizkes / Getty 

มันบอกว่า Zoom อ้างว่าเสนอการเข้ารหัสแบบ end-to-end 256 บิตสำหรับการโทร Zoom ตั้งแต่ปี 2559 แต่ให้ระดับความปลอดภัยที่ต่ำกว่าจริงๆ เมื่อเปิดใช้งานการเข้ารหัสแบบ end-to-end เฉพาะผู้เข้าร่วมในการโทรหรือแชทเท่านั้นที่สามารถเข้าถึงการแลกเปลี่ยนข้อมูล—ไม่ใช่ Zoom, รัฐบาลหรือฝ่ายอื่นๆ

นอกจากนี้ การร้องเรียนยังอ้างว่า Zoom ได้บันทึกการประชุมที่ไม่ได้เข้ารหัสไว้บนเซิร์ฟเวอร์นานถึง 60 วัน เมื่อแจ้งผู้ใช้บางคนว่าพวกเขาจะถูกเข้ารหัสทันที

อีกปัญหาหนึ่งเกี่ยวข้องกับซอฟต์แวร์ Mac ที่เรียกว่า ZoomOpener ซึ่งยังคงอยู่บนคอมพิวเตอร์ของผู้ใช้แม้ว่าจะลบ Zoom ออก และอาจทำให้พวกเขาเสี่ยงต่อแฮกเกอร์ได้ "ซอฟต์แวร์นี้ข้ามการตั้งค่าความปลอดภัยของเบราว์เซอร์ Safari และทำให้ผู้ใช้ตกอยู่ในความเสี่ยง ตัวอย่างเช่น อาจได้รับอนุญาต คนแปลกหน้าให้สอดแนมผู้ใช้ผ่านกล้องเว็บของคอมพิวเตอร์" Alvaro Puig ผู้เชี่ยวชาญด้านการศึกษาผู้บริโภคของ FTC อธิบาย ใน โพสต์บล็อก.

การตอบสนองของ Zoom

ในขณะที่ Zoom เพิ่งยุติการร้องเรียน FTC บริษัทบอก Lifewire ในอีเมลที่มี "จัดการ" ปัญหาแล้ว

“ความปลอดภัยของผู้ใช้ของเรามีความสำคัญสูงสุดสำหรับ Zoom” โฆษกของบริษัทกล่าว Lifewire ในอีเมล ซูมได้ดำเนินการหลายขั้นตอนเพื่อตอบสนองต่อข้อกล่าวหาของ FTC รวมถึงการเปิดตัวแผน 90 วันในเดือนเมษายนที่ ให้ผลมากกว่า 100 คุณสมบัติ ที่เกี่ยวข้องกับความเป็นส่วนตัวและความปลอดภัย

ภาพประกอบ 3 มิติ การป้องกันความปลอดภัยของอุปกรณ์ปลายทาง การรักษาความปลอดภัย
stuartmiles99 / Getty Images 

Zoom ได้แนะนำการเข้ารหัสแบบ end-to-end ในปลายเดือนตุลาคม ซึ่งเป็นไปได้โดยการเข้าซื้อกิจการของบริษัทที่ชื่อว่า Keybase ในเดือนพฤษภาคม การเข้ารหัสแบบ end-to-end ยังคงอยู่ในโหมดที่ Zoom เรียกว่า "ตัวอย่างทางเทคนิค" และบริษัทกล่าวว่าเซิร์ฟเวอร์ของ Zoom ไม่สามารถเข้าถึงคีย์การเข้ารหัสได้ ในตอนนี้ คุณลักษณะบางอย่างถูกจำกัดในโหมดการเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง ซึ่งรวมถึงความสามารถในการเข้าร่วมการประชุมต่อหน้าโฮสต์และห้องกลุ่มย่อย

วิธีใช้การเข้ารหัสแบบ End-to-End ของ Zoom

Nitesh Saxena ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์แห่งมหาวิทยาลัยอลาบามาแห่งเบอร์มิงแฮมกล่าวว่าความพยายามของ Zoom ในการ การใช้ระบบเข้ารหัสแบบ end-to-end ที่แท้จริงคือ "ก้าวไปในทิศทางที่ถูกต้อง" แต่สังเกตว่ายังมี งานที่ต้องทำ

"มีปัญหาสำคัญที่ต้องแก้ไขก่อนที่จะสามารถให้ระดับความปลอดภัยที่ผู้ใช้อาจต้องการจากการโทร Zoom" เขากล่าว

Saxena ที่ศึกษาความปลอดภัยของ Zoom มาอย่างถี่ถ้วนแล้ว กล่าวว่าการรักษาความปลอดภัยของวิธีการเข้ารหัสแบบ end-to-end นั้นขึ้นอยู่กับ เกี่ยวกับกระบวนการที่ใช้ตรวจสอบความถูกต้องของคีย์การเข้ารหัสของผู้เข้าร่วมการประชุม (ขั้นตอนสำคัญในการป้องกันผู้แอบฟังจาก เรียก).

ในกรณีนี้ ผู้ใช้ตรวจสอบตัวเองก่อนเริ่มการประชุม ในระยะแรกของ Zoom ของโปรโตคอลการเข้ารหัสแบบ end-to-end โฮสต์การประชุมจะอ่านรหัส 39 หลักที่ คนอื่นต้องตรวจสอบ บนหน้าจอของพวกเขา

"แนวทางปฏิบัติด้านความปลอดภัยของ Zoom ไม่สอดคล้องกับคำมั่นสัญญา และการดำเนินการนี้จะช่วยให้แน่ใจว่าการประชุม Zoom และข้อมูลเกี่ยวกับผู้ใช้ Zoom ได้รับการปกป้อง"

จากการวิจัยของแซกเสนาและทีมงานของเขา แนวทางนี้ มีแนวโน้มที่จะเกิดความผิดพลาดของมนุษย์ หากมีคนไม่ใส่ใจและยอมรับรหัสที่ไม่ตรงกันหรือข้ามขั้นตอนโดยไม่ได้ตั้งใจ

นอกจากนี้ เจ้าภาพการประชุมและผู้เข้าร่วมต้องตรวจสอบให้แน่ใจว่าพวกเขาเปิดใช้งานการเข้ารหัสตั้งแต่ต้นทางถึงปลายทางก่อนเริ่มการประชุม เนื่องจากไม่ได้เปิดไว้โดยค่าเริ่มต้น การวิจัยของ Saxena ยังพบว่าประเภทของรหัสตัวเลขที่ Zoom ใช้อยู่อาจมีแนวโน้มที่จะ การโจมตีบางประเภท.

ดังนั้น ผู้ใช้ Zoom รู้สึกโล่งใจที่แพลตฟอร์มได้จัดการปัญหาด้านความปลอดภัยหลักที่ได้รับจากการร้องเรียนของ FTC แล้ว และขณะนี้ได้เสนอขั้นตอนแรกของการเข้ารหัสแบบ end-to-end อย่างไรก็ตาม ผู้เข้าร่วมการประชุมควรตระหนักว่าการใช้โหมดการเข้ารหัสแบบ end-to-end ใหม่อย่างถูกต้อง ต้องให้ความสนใจเป็นพิเศษเมื่อถึงเวลาสำหรับกระบวนการตรวจสอบรหัสที่จุดเริ่มต้นของ เรียก.