Keeawayt
- Yhdysv altain liittov altion kauppakomissio ilmoitti 9. marraskuuta, että se oli päässyt sovintoon Zoomin kanssa väitettyään sen johtaneen käyttäjiä harhaan turvallisuuden suhteen.
- Sovintoratkaisu edellyttää, että Zoom ottaa käyttöön "kattavan tietoturvaohjelman".
- Zoom sanoo, että se on jo ratkaissut ongelmat, ja ilmoitti äskettäin ottavansa käyttöön päästä päähän -salauksen.
Suosittu neuvottelualusta Zoom vahvistaa turvallisuuskäytäntöjään osana sovintoratkaisua Yhdysv altain liittov altion kauppakomission (FTC) kanssa sen jälkeen, kun virasto väitti, että se on johtanut käyttäjiä harhaan turvallisuustasonsa suhteen.
Zoomista on tullut tuttu nimi muutamassa kuukaudessa, ja maailma on siirtynyt videoneuvottelualustaan pandemian vuoksi, joka rajoittaa vakavasti henkilökohtaisia tapaamisia. FTC:n valituksessa väitettiin kuitenkin, että Zoom "sopeutui sarjaan petollisia ja epäreiluja käytäntöjä, jotka heikensivät sen käyttäjien turvallisuutta."
Tämä seurasi tietoturvaasiantuntijoiden tarkastusta aiemmin tänä vuonna. He havaitsivat, että alusta ei käyttänyt päästä päähän -salausta markkinointiväitteistä huolimatta. Zoom on nähnyt myös muita tietoturvaongelmia suosionsa kasvun aikana, kuten ei-toivotut osallistujat kaatuivat kokouksiin "zoombombing"-nimisessä käytännössä. Osana FTC-sopimusta Zoom on sitoutunut toteuttamaan "kattavan tietoturvaohjelman".
"Pandmian aikana käytännössä kaikki - perheet, koulut, sosiaaliset ryhmät, yritykset - käyttävät videoneuvotteluja viestintään, mikä tekee näiden alustojen turvallisuudesta kriittisempää kuin koskaan", Andrew Smith, FTC:n kuluttajaviraston johtaja Protection sanoo viraston lehdistötiedotteessa.
"Zoomin tietoturvakäytännöt eivät vastanneet sen lupauksia, ja tämä toimenpide auttaa varmistamaan, että Zoom-kokoukset ja Zoomin käyttäjiä koskevat tiedot ovat suojattuja."
Hallituksen valvonta
FTC:n valituksessa väitetään, että Zoom on johtanut käyttäjiään harhaan useissa turvallisuuteen liittyvissä asioissa, joista tärkein liittyy päästä päähän -salausta koskeviin väitteisiin.
Siellä sanottiin, että Zoom on väittänyt tarjoavansa päästä päähän, 256-bittistä salausta Zoom-puheluille vuodesta 2016 lähtien, mutta todella tarjonnut alhaisemman suojaustason. Kun päästä päähän -salaus on käytössä, vain puhelun tai chatin osallistujat pääsevät käyttämään vaihdettuja tietoja, eivät Zoom, hallitus tai mikään muu osapuoli.
Lisäksi valituksessa väitetään, että Zoom tallensi tallennettuja, salaamattomia kokouksia palvelimilleen jopa 60 päivän ajan, kun se oli kertonut joillekin käyttäjilleen, että ne salataan välittömästi.
Toinen ongelma liittyy Mac-ohjelmistoon nimeltä ZoomOpener, joka pysyi käyttäjien tietokoneissa jopa Zoomin poistamisen jälkeen ja olisi voinut tehdä heistä haavoittuvia hakkereille. "Tämä ohjelmisto ohitti Safari-selaimen suojausasetuksen ja asetti käyttäjät vaaraan - se olisi esimerkiksi voinut sallia tuntemattomien vakoilla käyttäjiä heidän tietokoneensa verkkokameroiden kautta", FTC:n kuluttajakoulutusasiantuntija Alvaro Puig selittää blogikirjoituksessaan.
Zoomin vastaus
Vaikka Zoom ratkaisi FTC:n valituksen vasta äskettäin, yritys kertoi Lifewirelle sähköpostissa, että se on "jo käsitellyt" ongelmat.
"Käyttäjiemme turvallisuus on Zoomin tärkein prioriteetti", yrityksen tiedottaja kertoi Lifewirelle sähköpostissa. Zoom on ryhtynyt useisiin toimenpiteisiin vastatakseen FTC:n väitteisiin, mukaan lukien 90 päivän suunnitelman julkaisu huhtikuussa, joka tuotti yli 100 yksityisyyteen ja turvallisuuteen liittyvää ominaisuutta.
Zoom otti käyttöön päästä päähän -salauksen lokakuun lopulla, minkä mahdollisti sen toukokuussa ostettu Keybase-niminen yritys. Päästä päähän -salaus on edelleen siinä, mitä Zoom kutsuu "tekniseksi esikatseluksi", ja yritys sanoo, että Zoomin palvelimilla ei ole pääsyä salausavaimiin. Jotkin ominaisuudet ovat toistaiseksi rajoitettu päästä päähän -salaustilassa, mukaan lukien mahdollisuus liittyä kokoukseen ennen isäntä- ja pienryhmähuoneita.
Zoomin päästä päähän -salauksen käyttäminen
Alabaman yliopisto Birminghamissa Tietojenkäsittelytieteen professori Nitesh Saxena sanoo, että Zoomin pyrkimykset ottaa käyttöön todellinen päästä päähän -salausjärjestelmä on "askel oikeaan suuntaan", mutta toteaa, että työtä on vielä tehtävänä.
"On olemassa merkittäviä ongelmia, jotka on ratkaistava, ennen kuin tämä voi todella tarjota sen tietoturvatason, jota käyttäjät voivat vaatia Zoom-puheluilta", hän sanoo.
Saxena, joka on tutkinut Zoomin turvallisuutta laajasti, sanoo, että sen päästä päähän -salausmenetelmän turvallisuus riippuu viime kädessä kokouksen osallistujien salausavainten validointiprosessista (avainvaihe salakuuntelijoiden poissa puhelusta).
Tässä tapauksessa käyttäjät tarkistavat tämän itse ennen kokouksen aloittamista. Zoomin päästä päähän -salausprotokollan ensimmäisessä vaiheessa kokouksen isäntä lukee 39-numeroisen koodin, joka muiden on tarkistettava näytöltä.
Zoomin tietoturvakäytännöt eivät vastanneet sen lupauksia, ja tämä toimenpide auttaa varmistamaan, että Zoom-kokoukset ja Zoomin käyttäjiä koskevat tiedot ovat suojattuja.
Saxenan ja hänen tiiminsä tutkimuksen mukaan tämä lähestymistapa voi olla altis inhimillisille virheille, jos joku ei kiinnitä huomiota ja hyväksyy vahingossa koodin, joka ei täsmää, tai ohittaa prosessin kokonaan.
Lisäksi kokouksen isäntien ja osallistujien on varmistettava, että he ottavat käyttöön päästä päähän -salauksen ennen kokouksen aloittamista, koska se ei ole oletusarvoisesti käytössä. Saxenan tutkimuksessa havaittiin myös, että Zoomin käyttämät numeeriset koodityypit voivat myös olla alttiita tietyntyyppisille hyökkäyksille.
Joten, Zoom-käyttäjät voivat tuntea helpotusta siitä, että alusta on jo käsitellyt tärkeimmät FTC:n valituksen herättämät turvallisuusongelmat ja tarjoaa nyt päästä päähän -salauksen ensimmäisen vaiheen. Konferenssin osallistujien tulee kuitenkin olla tietoisia siitä, että uuden päästä päähän -salaustilan käyttäminen oikein vaatii erityistä huomiota, kun on aika tarkistaa koodi puhelun alussa.