Βασικά Takeaways
- Η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ ανακοίνωσε στις 9 Νοεμβρίου ότι κατέληξε σε συμφωνία με το Zoom αφού ισχυρίστηκε ότι παραπλάνησε τους χρήστες σχετικά με την ασφάλεια.
- Ο διακανονισμός απαιτεί το Zoom για τη δημιουργία ενός "περιεκτικού προγράμματος ασφαλείας".
- Το Zoom λέει ότι έχει ήδη αντιμετωπίσει τα προβλήματα και πρόσφατα ανακοίνωσε ότι θα εισαγάγει κρυπτογράφηση από άκρο σε άκρο.
Η δημοφιλής πλατφόρμα συνεδριάσεων Zoom ενισχύει τις πρακτικές ασφαλείας της ως μέρος ενός διακανονισμού με την Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ (FTC), μετά τους ισχυρισμούς της υπηρεσίας ότι παραπλάνησε τους χρήστες σχετικά με το επίπεδο ασφάλειάς της.
Το Το Zoom έγινε γνωστό σε λίγους μήνες, με τον κόσμο να στρέφεται στην πλατφόρμα τηλεδιάσκεψης λόγω της πανδημίας που περιορίζει σοβαρά τις προσωπικές συναντήσεις. Ωστόσο, μια καταγγελία της FTC ισχυρίστηκε ότι το Zoom "εμπλέκτηκε σε μια σειρά από παραπλανητικές και αθέμιτες πρακτικές που υπονόμευαν την ασφάλεια των χρηστών του."
Αυτό ακολούθησε έλεγχο από ειδικούς σε θέματα ασφάλειας νωρίτερα αυτό το έτος, οι οποίοι διαπίστωσαν ότι η πλατφόρμα δεν χρησιμοποιούσε κρυπτογράφηση από άκρο σε άκρο παρά τους ισχυρισμούς μάρκετινγκ. Το Zoom έχει επίσης δει και άλλα ζητήματα ασφαλείας κατά τη διάρκεια της άνοδος της δημοτικότητάς του, όπως ανεπιθύμητοι συμμετέχοντες που συντρίβουν συναντήσεις σε μια πρακτική που ονομάζεται "zoombombing". Ως μέρος του διακανονισμού της FTC, το Zoom έχει δεσμευτεί να εφαρμόσει ένα "περιεκτικό πρόγραμμα ασφάλειας."
"Κατά τη διάρκεια της πανδημίας, σχεδόν όλοι -οικογένειες, σχολεία, κοινωνικές ομάδες, επιχειρήσεις- χρησιμοποιούν τηλεδιάσκεψη για να επικοινωνήσουν, καθιστώντας την ασφάλεια αυτών των πλατφορμών πιο κρίσιμη από ποτέ", Andrew Smith, διευθυντής του Γραφείου Καταναλωτών της FTC Η προστασία λέει στο δελτίο τύπου του πρακτορείου.
"Οι πρακτικές ασφαλείας του Zoom δεν συνάδουν με τις υποσχέσεις του και αυτή η ενέργεια θα σας βοηθήσει να διασφαλίσετε ότι προστατεύονται οι συσκέψεις του Zoom και τα δεδομένα σχετικά με τους χρήστες του Zoom."
Κυβερνητικός Έλεγχος
Η καταγγελία της FTC ισχυρίζεται ότι το Zoom παραπλάνησε τους χρήστες του σχετικά με διάφορα ζητήματα που σχετίζονται με την ασφάλεια, το πιο σημαντικό από τα οποία σχετίζεται με ισχυρισμούς σχετικά με την κρυπτογράφηση από άκρο σε άκρο.
Είπε ότι το Zoom ισχυρίζεται ότι προσφέρει κρυπτογράφηση από άκρο σε άκρο, 256-bit για κλήσεις Zoom από το 2016, αλλά πραγματικά παρείχε χαμηλότερο επίπεδο ασφάλειας. Όταν είναι ενεργοποιημένη η κρυπτογράφηση από άκρο σε άκρο, μόνο οι συμμετέχοντες σε μια κλήση ή συνομιλία έχουν πρόσβαση στις πληροφορίες που ανταλλάσσονται - όχι το Zoom, η κυβέρνηση ή οποιοδήποτε άλλο μέρος.
Επιπλέον, η καταγγελία ισχυρίζεται ότι το Zoom αποθήκευσε ηχογραφημένες, μη κρυπτογραφημένες συσκέψεις στους διακομιστές του για έως και 60 ημέρες όταν είχε πει σε ορισμένους από τους χρήστες του ότι θα κρυπτογραφούνταν αμέσως.
Ένα άλλο ζήτημα σχετίζεται με το λογισμικό Mac που ονομάζεται ZoomOpener, το οποίο παρέμενε στους υπολογιστές των χρηστών ακόμη και κατά τη διαγραφή του Zoom και θα μπορούσε να τους είχε κάνει ευάλωτους σε χάκερ. "Αυτό το λογισμικό παρέκαμψε μια ρύθμιση ασφαλείας του προγράμματος περιήγησης Safari και έθεσε τους χρήστες σε κίνδυνο - για παράδειγμα, θα μπορούσε να είχε επιτρέψει σε αγνώστους να κατασκοπεύουν τους χρήστες μέσω των δικτυακών καμερών του υπολογιστή τους", εξηγεί ο ειδικός εκπαίδευσης καταναλωτών της FTC, Alvaro Puig, σε μια ανάρτηση ιστολογίου.
Απάντηση του Zoom
Ενώ το Zoom διευθέτησε μόλις πρόσφατα την καταγγελία της FTC, η εταιρεία είπε στο Lifewire σε ένα email ότι "έχει ήδη αντιμετωπίσει" τα ζητήματα.
"Η ασφάλεια των χρηστών μας είναι κορυφαία προτεραιότητα για το Zoom", δήλωσε εκπρόσωπος της εταιρείας στο Lifewire σε ένα email. Το Zoom έχει λάβει πολλά βήματα για να ανταποκριθεί στους ισχυρισμούς της FTC, συμπεριλαμβανομένης της έναρξης ενός προγράμματος 90 ημερών τον Απρίλιο που απέδωσε περισσότερες από 100 λειτουργίες που σχετίζονται με το απόρρητο και την ασφάλεια.
Το Το Zoom εισήγαγε την κρυπτογράφηση από άκρο σε άκρο στα τέλη Οκτωβρίου, η οποία κατέστη δυνατή με την εξαγορά της εταιρείας Keybase τον Μάιο. Η κρυπτογράφηση από άκρο σε άκρο εξακολουθεί να βρίσκεται σε αυτό που το Zoom αποκαλεί λειτουργία "τεχνικής προεπισκόπησης" και η εταιρεία λέει ότι οι διακομιστές του Zoom δεν έχουν πρόσβαση στα κλειδιά κρυπτογράφησης. Προς το παρόν, ορισμένες λειτουργίες είναι περιορισμένες στη λειτουργία κρυπτογράφησης από άκρο σε άκρο, συμπεριλαμβανομένης της δυνατότητας συμμετοχής στη σύσκεψη πριν από τον κεντρικό υπολογιστή και τις αίθουσες επιμέρους συσκέψεων.
Πώς να χρησιμοποιήσετε την κρυπτογράφηση από άκρο σε άκρο του Zoom
Ο καθηγητής επιστήμης υπολογιστών του Πανεπιστημίου της Αλαμπάμα στο Μπέρμιγχαμ, Nitesh Saxena, λέει ότι οι προσπάθειες του Zoom να εφαρμόσει ένα αληθινό σύστημα κρυπτογράφησης από άκρο σε άκρο είναι ένα "βήμα προς τη σωστή κατεύθυνση", αλλά σημειώνει ότι υπάρχει ακόμη δουλειά να γίνει.
"Υπάρχουν σημαντικά ζητήματα που πρέπει να αντιμετωπιστούν για να μπορέσουν να προσφέρουν πραγματικά το επίπεδο ασφάλειας που μπορεί να απαιτούν οι χρήστες από τις κλήσεις Zoom", λέει.
Saxena, ο οποίος έχει μελετήσει εκτενώς την ασφάλεια του Zoom, λέει ότι η ασφάλεια της μεθόδου κρυπτογράφησης από άκρο σε άκρο βασίζεται στη διαδικασία που χρησιμοποιείται για την επικύρωση των κρυπτογραφικών κλειδιών των συμμετεχόντων στη σύσκεψη (ένα βασικό βήμα για την αποφυγή της κλήσης των υποκλοπών).
Σε αυτήν την περίπτωση, οι χρήστες το ελέγχουν οι ίδιοι πριν ξεκινήσουν τη σύσκεψη. Στην πρώτη φάση του Zoom του πρωτοκόλλου κρυπτογράφησης από άκρο σε άκρο, ο οικοδεσπότης της σύσκεψης διαβάζει έναν κωδικό 39 ψηφίων που οι άλλοι πρέπει να ελέγξουν στην οθόνη τους.
Οι πρακτικές ασφαλείας του Zoom δεν ευθυγραμμίζονται με τις υποσχέσεις του και αυτή η ενέργεια θα σας βοηθήσει να διασφαλίσετε ότι προστατεύονται οι συσκέψεις και τα δεδομένα του Zoom σχετικά με τους χρήστες του Zoom.
Σύμφωνα με έρευνα του Saxena και της ομάδας του, αυτή η προσέγγιση θα μπορούσε να είναι επιρρεπής σε ανθρώπινο λάθος εάν κάποιος δεν προσέχει και δεχτεί κατά λάθος έναν κωδικό που δεν ταιριάζει ή παραλείπει εντελώς τη διαδικασία.
Επίσης, οι οικοδεσπότες και οι συμμετέχοντες της σύσκεψης πρέπει να βεβαιωθούν ότι έχουν ενεργοποιήσει την κρυπτογράφηση από άκρο σε άκρο πριν από την έναρξη της σύσκεψης, καθώς δεν είναι ενεργοποιημένη από προεπιλογή. Η έρευνα της Saxena διαπίστωσε επίσης ότι οι τύποι αριθμητικών κωδικών που χρησιμοποιεί το Zoom θα μπορούσαν επίσης να είναι επιρρεπείς σε έναν συγκεκριμένο τύπο επίθεσης.
Έτσι, οι χρήστες του Zoom μπορούν να αισθάνονται κάποια ανακούφιση που η πλατφόρμα έχει ήδη αντιμετωπίσει τα κύρια ζητήματα ασφάλειας που εγείρονται από την καταγγελία της FTC και τώρα προσφέρει την πρώτη φάση της κρυπτογράφησης από άκρο σε άκρο. Ωστόσο, οι συμμετέχοντες στη διάσκεψη θα πρέπει να γνωρίζουν ότι η σωστή χρήση της νέας λειτουργίας κρυπτογράφησης από άκρο σε άκρο απαιτεί ιδιαίτερη προσοχή όταν είναι ώρα για τη διαδικασία επικύρωσης κώδικα στην αρχή της κλήσης.