Pagrindiniai pasiėmimai
- JAV Federalinė prekybos komisija lapkričio 9 d. paskelbė, kad pasiekė susitarimą su „Zoom“, teigdama, kad ši klaidino vartotojus dėl saugumo.
- Susitaikius reikalaujama, kad „Zoom“įdiegtų „išsamią saugos programą“.
- Zoom teigia, kad jau išsprendė problemas ir neseniai paskelbė, kad įdiegs tiesioginį šifravimą.
Populiari konferencijų platforma Zoom tobulina savo saugumo praktiką, kaip susitarimo su JAV Federaline prekybos komisija (FTC) dalį, po agentūros k altinimų, kad ji klaidino vartotojus dėl savo saugumo lygio.
Vos per kelis mėnesius „Zoom“tapo populiariu pavadinimu, o pasaulis pradėjo naudoti vaizdo konferencijų platformą dėl pandemijos, labai ribojančios asmeninius susitikimus. Tačiau FTC skunde buvo teigiama, kad „Zoom“„vykdė daugybę apgaulingų ir nesąžiningų veiksmų, kurie kenkė naudotojų saugumui“.
Tai buvo atlikta po saugumo ekspertų patikrinimo anksčiau šiais metais, kurie nustatė, kad platforma nenaudoja visiško šifravimo, nepaisant rinkodaros teiginių. Didėjant populiarumui „Zoom“taip pat pastebėta kitų saugumo problemų, pavyzdžiui, nepageidaujami dalyviai užklupo susitikimus, vadinamus „zoombombing“. Kaip FTC susitarimo dalis, „Zoom“įsipareigojo įgyvendinti „išsamią saugos programą“.
„Pandemijos metu praktiškai visi – šeimos, mokyklos, socialinės grupės, įmonės – bendraudami naudoja vaizdo konferencijas, todėl šių platformų saugumas tampa svarbesnis nei bet kada“, – sakė FTC vartotojų biuro direktorius Andrew Smithas. Apsauga sakoma agentūros pranešime spaudai.
„„Zoom“saugos praktika neatitiko jos pažadų, ir šis veiksmas padės užtikrinti, kad „Zoom“susitikimai ir duomenys apie „Zoom“naudotojus būtų apsaugoti."
Vyriausybės kontrolė
FTC skunde teigiama, kad „Zoom“suklaidino savo vartotojus dėl kelių su sauga susijusių problemų, iš kurių svarbiausios yra susijusios su teiginiais apie tiesioginį šifravimą.
Teigiama, kad „Zoom“nuo 2016 m. siūlo nuo pat galo iki galo 256 bitų šifravimą „Zoom“skambučiams, tačiau iš tikrųjų užtikrino žemesnį saugumo lygį. Kai įgalintas tiesioginis šifravimas, tik pokalbio ar pokalbio dalyviai turi prieigą prie informacijos, kuria keičiamasi, o ne „Zoom“, vyriausybė ar bet kuri kita šalis.
Be to, skunde teigiama, kad „Zoom“iki 60 dienų saugojo įrašytus nešifruotus susitikimus savo serveriuose, kai kai kuriems naudotojams buvo pasakęs, kad jie bus nedelsiant užšifruoti.
Kita problema susijusi su Mac programine įranga, vadinama ZoomOpener, kuri liko vartotojų kompiuteriuose net ištrynus Zoom ir galėjo padaryti juos pažeidžiamus įsilaužėlių. „Ši programinė įranga apeino „Safari“naršyklės saugos nustatymą ir sukėlė pavojų naudotojams – pavyzdžiui, ji galėjo leisti nepažįstamiems žmonėms šnipinėti vartotojus per jų kompiuterio žiniatinklio kameras“, – tinklaraščio įraše aiškina FTC vartotojų švietimo specialistas Alvaro Puigas.
Zoom atsakymas
Nors „Zoom“tik neseniai išsprendė FTC skundą, bendrovė „Lifewire“el. laiške pranešė, kad „jau išsprendė“problemas.
„Mūsų naudotojų saugumas yra svarbiausias Zoom prioritetas“, – „Lifewire“el. laiške sakė bendrovės atstovas. „Zoom“ėmėsi kelių veiksmų, kad reaguotų į FTC k altinimus, įskaitant 90 dienų plano pristatymą balandžio mėn., kuriame buvo daugiau nei 100 funkcijų, susijusių su privatumu ir saugumu.
Spalio pabaigoje „Zoom“pristatė visišką šifravimą, kuris tapo įmanomas gegužę įsigijus įmonę „Keybase“. Šifravimas nuo galo iki galo vis dar yra „Zoom“vadinamas „techninės peržiūros“režimu, o bendrovė teigia, kad „Zoom“serveriai neturi prieigos prie šifravimo raktų. Kol kas kai kurios funkcijos yra apribotos tiesioginio šifravimo režimu, įskaitant galimybę prisijungti prie susitikimo prieš priimančiosios ir grupės patalpas.
Kaip naudoti Zoom šifravimą nuo galo iki galo
Alabamos universiteto Birmingeme kompiuterių mokslų profesorius Niteshas Saxena teigia, kad Zoom pastangos įdiegti tikrą šifravimo sistemą nuo galo iki galo yra „žingsnis teisinga kryptimi“, tačiau pažymi, kad dar reikia padirbėti.
"Yra svarbių problemų, kurias reikia išspręsti, kad tai tikrai užtikrintų saugumo lygį, kurio vartotojai gali reikalauti iš Zoom skambučių", - sako jis.
Saxena, daug tyrinėjusi „Zoom“saugumą, teigia, kad jos galutinio šifravimo metodo saugumas galiausiai priklauso nuo proceso, naudojamo susitikimo dalyvių kriptografiniams raktams patvirtinti (pagrindinis veiksmas, norint, kad klausytojai nepatektų į skambutį).
Šiuo atveju naudotojai patys tai patikrina prieš pradėdami susitikimą. Pirmajame „Zoom“galutinio šifravimo protokolo etape susitikimo šeimininkas nuskaito 39 skaitmenų kodą, kurį kiti turi patikrinti savo ekrane.
„Zoom“saugos praktika neatitiko pažadų, o šis veiksmas padės užtikrinti, kad „Zoom“susitikimai ir duomenys apie „Zoom“naudotojus būtų apsaugoti.
Remiantis Saxenos ir jo komandos atliktu tyrimu, šis metodas gali sukelti žmogiškųjų klaidų, jei kas nors nekreipia dėmesio ir netyčia priima kodą, kuris neatitinka arba visiškai praleidžia procesą.
Be to, susitikimo rengėjai ir dalyviai turi įsitikinti, kad prieš pradėdami susitikimą įgalina tiesioginį šifravimą, nes jis nėra įjungtas pagal numatytuosius nustatymus. Saxenos tyrimas taip pat parodė, kad „Zoom“naudojamų skaitmeninių kodų tipai taip pat gali būti linkę į tam tikro tipo atakas.
Taigi, „Zoom“naudotojai gali pajusti palengvėjimą, kad platforma jau išsprendė pagrindines saugumo problemas, iškeltas dėl FTC skundo, ir dabar siūlo pirmąjį visiško šifravimo etapą. Tačiau konferencijos dalyviai turėtų žinoti, kad norint tinkamai naudoti naująjį šifravimo režimą nuo galo iki galo, reikia skirti ypatingą dėmesį, kai pokalbio pradžioje ateina laikas atlikti kodo patvirtinimo procesą.
