Võtmed kaasavõtmiseks
- USA föderaalne kaubanduskomisjon teatas 9. novembril, et jõudis Zoomiga kokkuleppele, kuna väitis, et see eksitab kasutajaid turvalisuse osas.
- Arveldus nõuab, et Zoom paneks paika "tervikliku turbeprogrammi".
- Zoom ütleb, et on probleemidega juba tegelenud ja teatas hiljuti, et võtab kasutusele täieliku krüptimise.
Populaarne konverentsiplatvorm Zoom tugevdab USA Föderaalse Kaubanduskomisjoniga (FTC) sõlmitud kokkuleppe osana oma turvatavasid pärast agentuuri väiteid, et see eksitas kasutajaid oma turvataseme osas.
Zoomist on saanud tuntuks vaid mõne kuuga ning maailm on võtnud kasutusele selle videokonverentsiplatvormi, kuna pandeemia piirab isiklikult kohtumisi tõsiselt. FTC kaebuses väideti aga, et Zoom "osales mitmes petlikus ja ebaausas tegevuses, mis kahjustas selle kasutajate turvalisust".
See järgnes turvaekspertide kontrollile selle aasta alguses, kes avastasid, et platvorm ei kasutanud turundusalaste väidete vaatamata otsast lõpuni krüptimist. Zoom on oma populaarsuse tõusu ajal näinud ka muid turvaprobleeme, nagu soovimatud osalejad, kes jooksevad kokku koosolekutel, mida nimetatakse "suumpommitamiseks". Osana FTC kokkuleppest on Zoom võtnud kohustuse rakendada "laiahaardelist turvaprogrammi".
"Pandeemia ajal kasutavad praktiliselt kõik – perekonnad, koolid, sotsiaalsed rühmad, ettevõtted – suhtlemiseks videokonverentse, muutes nende platvormide turvalisuse kriitilisemaks kui kunagi varem, " ütles FTC tarbijakaitsebüroo direktor Andrew Smith. Kaitse ütleb agentuuri pressiteates.
"Zoomi turvatavad ei vastanud lubadustele ja see toiming aitab tagada, et Zoomi koosolekud ja Zoomi kasutajate andmed on kaitstud."
Valitsuse kontroll
FTC kaebuses väidetakse, et Zoom eksitas oma kasutajaid mitmete turvalisusega seotud probleemide osas, millest kõige olulisem on seotud väidetega, mis puudutavad täielikku krüptimist.
See ütles, et Zoom on väitnud, et pakub Zoomi kõnede jaoks 256-bitist täielikku krüptimist alates 2016. aastast, kuid pakkus tegelikult madalamat turvalisuse taset. Kui täielik krüpteerimine on lubatud, pääsevad vahetatavale teabele juurde ainult kõnes või vestluses osalejad, mitte Zoom, valitsus või mõni muu osapool.
Lisaks väidetakse kaebuses, et Zoom salvestas salvestatud krüptimata koosolekuid oma serveritesse kuni 60 päeva, kui ta oli mõnele oma kasutajale öelnud, et need krüpteeritakse kohe.
Teine probleem on seotud Maci tarkvaraga ZoomOpener, mis jäi kasutajate arvutitesse isegi Zoomi kustutamisel ja oleks võinud muuta nad häkkerite suhtes haavatavaks. "See tarkvara läks mööda Safari brauseri turvaseadetest ja seadis kasutajad ohtu – näiteks oleks see võinud lubada võõrastel inimestel nende arvuti veebikaamerate kaudu kasutajaid luurata," selgitab FTC tarbijahariduse spetsialist Alvaro Puig ajaveebipostituses.
Zoomi vastus
Kuigi Zoom lahendas FTC kaebuse alles hiljuti, teatas ettevõte Lifewire'ile e-kirjas, et on probleemidega "juba tegelenud".
"Meie kasutajate turvalisus on Zoomi jaoks esmatähtis, " ütles ettevõtte pressiesindaja Lifewire'ile e-kirjas. Zoom on FTC väidetele vastamiseks astunud mitmeid samme, sealhulgas käivitanud aprillis 90-päevase plaani, mis andis rohkem kui 100 privaatsuse ja turvalisusega seotud funktsiooni.
Zoom võttis oktoobri lõpus kasutusele täieliku krüptimise, mis sai võimalikuks tänu ettevõtte Keybase omandamisele mais. Täielik krüptimine on endiselt režiimis, mida Zoom nimetab "tehniliseks eelvaateks" ja ettevõte ütleb, et Zoomi serveritel pole krüpteerimisvõtmetele juurdepääsu. Praegu on mõned funktsioonid täielikus krüptimise režiimis piiratud, sealhulgas võimalus liituda koosolekuga enne hosti- ja eraldamisruume.
Kuidas kasutada Zoomi täielikku krüptimist
Alabama ülikooli Birminghami arvutiteaduse professor Nitesh Saxena ütleb, et Zoomi jõupingutused tõelise täieliku krüpteerimissüsteemi juurutamiseks on "samm õiges suunas", kuid märgib, et tööd on veel teha.
"On olulisi probleeme, millega tuleb tegeleda, enne kui see suudab tõesti pakkuda turvalisuse taset, mida kasutajad võivad Zoomi kõnedelt nõuda," ütleb ta.
Saxena, kes on Zoomi turvalisust põhjalikult uurinud, ütleb, et selle täieliku krüptimise meetodi turvalisus sõltub lõppkokkuvõttes protsessist, mida kasutatakse koosolekul osalejate krüptograafiliste võtmete kinnitamiseks (peamine samm pe altkuulajate kõnest eemale hoidmiseks).
Sel juhul kontrollivad kasutajad seda enne koosoleku alustamist ise. Zoomi täieliku krüpteerimisprotokolli esimeses etapis loeb koosoleku host 39-kohalist koodi, mida teised peavad oma ekraanil kontrollima.
Zoomi turvatavad ei vastanud lubadustele ja see toiming aitab tagada, et Zoomi koosolekud ja Zoomi kasutajate andmed on kaitstud.
Saxena ja tema meeskonna uuringute kohaselt võib see lähenemisviis olla inimlik viga, kui keegi ei pööra tähelepanu ja võtab kogemata vastu koodi, mis ei ühti või jätab protsessi täielikult vahele.
Samuti peavad koosoleku korraldajad ja osalejad enne koosoleku alustamist veenduma, et nad lubaksid täieliku krüptimise, kuna see pole vaikimisi sisse lülitatud. Saxena uuringus leiti ka, et Zoomi kasutatavad numbrikoodide tüübid võivad samuti olla teatud tüüpi rünnakutele vastuvõtlikud.
Niisiis võivad Zoomi kasutajad tunda kergendust, et platvorm on juba lahendanud FTC kaebuse tõstatatud peamised turvaprobleemid ja pakub nüüd täieliku krüptimise esimest etappi. Konverentsil osalejad peaksid aga teadma, et uue täieliku krüptimise režiimi õige kasutamine nõuab erilist tähelepanu, kui kõne alguses on aeg koodi valideerimiseks.
