Kulcs elvitelek
- Az Egyesült Államok Szövetségi Kereskedelmi Bizottsága november 9-én bejelentette, hogy megegyezésre jutott a Zoommal, miután azt állította, hogy félrevezette a felhasználókat a biztonsággal kapcsolatban.
- Az egyezség megköveteli, hogy a Zoom egy "átfogó biztonsági programot" hozzon létre.
- A Zoom azt állítja, hogy már megoldotta a problémákat, és nemrégiben bejelentette, hogy bevezeti a végpontok közötti titkosítást.
A népszerű konferenciaplatform, a Zoom az Egyesült Államok Szövetségi Kereskedelmi Bizottságával (FTC) kötött egyezség részeként fokozza biztonsági gyakorlatát, miután az ügynökség azt állította, hogy félrevezette a felhasználókat a biztonsági szintjét illetően.
A Zoom néhány hónap leforgása alatt ismertté vált, és a világ a videokonferencia-platformja felé fordult, mivel a járvány súlyosan korlátozza a személyes találkozásokat. Egy FTC panasz azonban azt állította, hogy a Zoom "egy sor megtévesztő és tisztességtelen gyakorlatot folytat, amely aláásta a felhasználók biztonságát".
Ez a biztonsági szakértők vizsgálatát követte az év elején, akik megállapították, hogy a platform a marketingállítások ellenére nem használ végpontok közötti titkosítást. A Zoom más biztonsági problémákkal is szembesült népszerűségének növekedése során, például a nemkívánatos résztvevők összeomlása során a "zoombombing" nevű gyakorlat során. Az FTC-egyezség részeként a Zoom elkötelezte magát egy "átfogó biztonsági program" megvalósítása mellett.
"A világjárvány alatt gyakorlatilag mindenki – családok, iskolák, társadalmi csoportok, vállalkozások – használ videokonferenciát a kommunikációhoz, ami minden eddiginél fontosabbá teszi ezeknek a platformoknak a biztonságát" – Andrew Smith, az FTC Fogyasztóvédelmi Hivatalának igazgatója A Protection szerint az ügynökség sajtóközleményében.
"A Zoom biztonsági gyakorlata nem felelt meg az ígéreteknek, és ez a művelet segít biztosítani a Zoom-találkozók és a Zoom-felhasználók adatainak védelmét."
Kormányzati ellenőrzés
Az FTC panasza azt állítja, hogy a Zoom megtévesztette felhasználóit számos, biztonsággal kapcsolatos kérdésben, amelyek közül a legfontosabb a végpontok közötti titkosítással kapcsolatos állításokhoz kapcsolódik.
Azt írta, hogy a Zoom 2016 óta azt állítja, hogy végpontok közötti, 256 bites titkosítást kínál a Zoom-hívásokhoz, de valójában alacsonyabb szintű biztonságot nyújtott. Ha a végpontok közötti titkosítás engedélyezve van, csak a hívás vagy csevegés résztvevői férhetnek hozzá a kicserélt információkhoz, a Zoom, a kormány vagy bármely más fél nem.
Emellett a panasz azt állítja, hogy a Zoom akár 60 napig tárolta a rögzített, titkosítatlan értekezleteket a szerverein, amikor közölte néhány felhasználójával, hogy azokat azonnal titkosítani fogják.
Egy másik probléma a ZoomOpener nevű Mac szoftverrel kapcsolatos, amely még a Zoom törlésekor is a felhasználók számítógépén maradt, és sebezhetővé tehette őket a hackerekkel szemben. "Ez a szoftver megkerülte a Safari böngésző biztonsági beállításait, és veszélynek tette ki a felhasználókat – például lehetővé tehette volna, hogy idegenek kémkedjenek a felhasználók után a számítógépük webkameráin keresztül" – magyarázza az FTC fogyasztói oktatási szakértője, Alvaro Puig egy blogbejegyzésében.
A Zoom válasza
Míg a Zoom csak a közelmúltban rendezte az FTC panaszát, a vállalat e-mailben közölte a Lifewire-vel, hogy „már foglalkozott” a problémákkal.
"Felhasználóink biztonsága a Zoom elsődleges prioritása" - mondta a vállalat szóvivője a Lifewire-nek egy e-mailben. A Zoom több lépést is tett, hogy válaszoljon az FTC állításaira, beleértve egy 90 napos tervet áprilisban, amely több mint 100 adatvédelemmel és biztonsággal kapcsolatos funkciót tartalmazott.
A Zoom október végén bevezette a végpontok közötti titkosítást, amelyet a Keybase nevű cég májusi felvásárlása tett lehetővé. A végpontok közötti titkosítás továbbra is a Zoom által "technikai előnézetnek" nevezett módban működik, és a cég szerint a Zoom szerverei nem férnek hozzá a titkosítási kulcsokhoz. Egyelőre bizonyos funkciók korlátozottak a végpontok közötti titkosítási módban, beleértve a megbeszélésekhez való csatlakozás lehetőségét a gazdagép és a szekciószobák előtt.
A Zoom végpontok közötti titkosításának használata
A birminghami Alabamai Egyetem számítástechnika professzora, Nitesh Saxena azt mondja, hogy a Zoom erőfeszítései egy valódi végpontok közötti titkosítási rendszer megvalósítására „lépés a helyes irányba”, de megjegyzi, hogy még van tennivaló.
"Lényeges problémákat kell megoldani, mielőtt ez valóban azt a biztonsági szintet tudná biztosítani, amelyet a felhasználók a Zoom-hívásoktól megkövetelhetnek" - mondja.
Saxena, aki alaposan tanulmányozta a Zoom biztonságát, azt mondja, hogy a végpontok közötti titkosítási módszer biztonsága végső soron azon a folyamaton múlik, amelyet az értekezlet résztvevőinek titkosítási kulcsainak érvényesítésére használnak (ez egy kulcsfontosságú lépés a lehallgatók távol tartásához a hívástól).).
Ebben az esetben a felhasználók maguk ellenőrzik ezt az értekezlet megkezdése előtt. A Zoom végpontok közötti titkosítási protokolljának első fázisában az értekezlet házigazdája beolvas egy 39 számjegyű kódot, amelyet a többieknek ellenőrizniük kell a képernyőjükön.
A Zoom biztonsági gyakorlata nem felelt meg az ígéreteknek, és ez a művelet segít biztosítani a Zoom-találkozók és a Zoom-felhasználók adatainak védelmét.
Saxena és csapata kutatása szerint ez a megközelítés hajlamos lehet az emberi hibára, ha valaki nem figyel, és véletlenül olyan kódot fogad el, amely nem egyezik, vagy teljesen kihagyja a folyamatot.
Az értekezlet házigazdáinak és résztvevőinek az értekezlet megkezdése előtt meg kell győződniük arról, hogy engedélyezik a végpontok közötti titkosítást, mivel ez alapértelmezés szerint nincs bekapcsolva. Saxena kutatása azt is megállapította, hogy a Zoom által használt numerikus kódok bizonyos típusú támadásokra is hajlamosak lehetnek.
Tehát a Zoom-felhasználók némi megkönnyebbülést érezhetnek, hogy a platform már foglalkozott az FTC-panasz által felvetett fő biztonsági problémákkal, és most a végpontok közötti titkosítás első fázisát kínálja. A konferencia résztvevőinek azonban tisztában kell lenniük azzal, hogy az új végpontok közötti titkosítási mód helyes használata fokozott figyelmet igényel, amikor a hívás elején elérkezik a kódellenőrzési folyamat.
