Ključni podaci za van
- Američka savezna trgovinska komisija objavila je 9. studenoga da je postigla nagodbu sa Zoomom nakon što je navela da je obmanuo korisnike u pogledu sigurnosti.
- Nagodba zahtijeva da Zoom uspostavi "sveobuhvatni sigurnosni program".
- Zoom kaže da je već riješio te probleme, a nedavno je najavio da će uvesti end-to-end enkripciju.
Popularna konferencijska platforma Zoom pojačava svoju sigurnosnu praksu u sklopu nagodbe s američkom Federalnom trgovinskom komisijom (FTC), nakon optužbi agencije da je obmanula korisnike o svojoj razini sigurnosti.
Zoom je postao poznato ime u roku od samo nekoliko mjeseci, a svijet se okrenuo njegovoj platformi za videokonferencije zbog pandemije koja ozbiljno ograničava sastanke uživo. Međutim, pritužba FTC-a navodi da je Zoom "sudjelovao u nizu prijevarnih i nepoštenih postupaka koji su potkopavali sigurnost njegovih korisnika."
Ovo je uslijedilo nakon pažljivog ispitivanja sigurnosnih stručnjaka ranije ove godine, koji su otkrili da platforma ne koristi end-to-end enkripciju unatoč marketinškim tvrdnjama. Zoom se također susreo s drugim sigurnosnim problemima tijekom porasta popularnosti, poput nepoželjnih sudionika koji ruše sastanke u praksi zvanoj "zoombombing". Kao dio FTC nagodbe, Zoom se obvezao na implementaciju "sveobuhvatnog sigurnosnog programa."
"Tijekom pandemije, praktički svi - obitelji, škole, društvene grupe, tvrtke - koriste videokonferencije za komunikaciju, zbog čega je sigurnost ovih platformi kritičnija nego ikad", Andrew Smith, direktor FTC-ovog ureda za potrošače Zaštita kaže u priopćenju agencije.
"Sigurnosne prakse Zooma nisu u skladu s obećanjima i ova će radnja pomoći da se osigura zaštita Zoomovih sastanaka i podataka o Zoom korisnicima."
Državni nadzor
Žalba FTC-a navodi da je Zoom doveo svoje korisnike u zabludu u vezi s nekoliko problema povezanih sa sigurnošću, od kojih se najvažniji odnosi na tvrdnje o enkripciji s kraja na kraj.
Rečeno je da Zoom tvrdi da nudi end-to-end, 256-bitnu enkripciju za Zoom pozive od 2016., ali zapravo pruža nižu razinu sigurnosti. Kada je end-to-end enkripcija omogućena, samo sudionici u pozivu ili chatu imaju pristup razmijenjenim informacijama - ne Zoom, vlada ili bilo koja druga strana.
Osim toga, u žalbi se navodi da je Zoom pohranjivao snimljene, nešifrirane sastanke na svojim poslužiteljima do 60 dana kada je nekim svojim korisnicima rekao da će odmah biti šifrirani.
Još jedan problem odnosi se na Mac softver pod nazivom ZoomOpener, koji je ostao na računalima korisnika čak i nakon brisanja Zooma i mogao ih je učiniti ranjivima na hakere. "Ovaj je softver zaobišao sigurnosnu postavku preglednika Safari i izložio korisnike riziku - na primjer, mogao je omogućiti strancima da špijuniraju korisnike putem web kamera njihovih računala," FTC-ov stručnjak za obrazovanje potrošača, Alvaro Puig, objašnjava u postu na blogu.
Odgovor Zooma
Iako je Zoom tek nedavno riješio pritužbu FTC-a, tvrtka je rekla Lifewireu u e-poruci da je "već riješila" probleme.
"Sigurnost naših korisnika glavni je prioritet za Zoom", rekao je glasnogovornik tvrtke Lifewireu u e-poruci. Zoom je poduzeo nekoliko koraka kako bi odgovorio na optužbe FTC-a, uključujući pokretanje 90-dnevnog plana u travnju koji je donio više od 100 značajki povezanih s privatnošću i sigurnošću.
Zoom je uveo end-to-end enkripciju krajem listopada, što je omogućila kupnja tvrtke pod nazivom Keybase u svibnju. End-to-end enkripcija još uvijek je u načinu rada koji Zoom naziva "tehničkim pregledom", a tvrtka kaže da Zoomovi poslužitelji nemaju pristup ključevima za enkripciju. Za sada su neke značajke ograničene u načinu end-to-end enkripcije, uključujući mogućnost pridruživanja sastanku prije domaćina i soba za izdvojene skupine.
Kako koristiti Zoom-ovu end-to-end enkripciju
Profesor informatike na Sveučilištu Alabama u Birminghamu Nitesh Saxena kaže da su Zoomovi napori da implementira pravi end-to-end enkripcijski sustav "korak u pravom smjeru", ali napominje da još ima posla.
"Postoje značajni problemi koje treba riješiti prije nego što ovo zaista može pružiti razinu sigurnosti koju korisnici mogu zahtijevati od Zoom poziva," kaže.
Saxena, koja je opsežno proučavala sigurnost Zooma, kaže da se sigurnost njegove end-to-end metode enkripcije u konačnici oslanja na proces koji se koristi za provjeru valjanosti kriptografskih ključeva sudionika sastanka (ključni korak za držanje prisluškivača izvan poziva)).
U ovom slučaju korisnici to sami provjeravaju prije početka sastanka. U Zoomovoj prvoj fazi njegovog end-to-end enkripcijskog protokola, domaćin sastanka čita 39-znamenkasti kod koji ostali moraju provjeriti na svom ekranu.
Sigurnosne prakse Zooma nisu u skladu s obećanjima i ova će radnja pomoći da se osigura zaštita Zoomovih sastanaka i podataka o Zoom korisnicima.
Prema istraživanju koje su proveli Saxena i njegov tim, ovaj bi pristup mogao biti sklon ljudskoj pogrešci ako netko ne obraća pozornost i slučajno prihvati kod koji se ne podudara ili potpuno preskoči proces.
Također, domaćini i sudionici sastanka moraju biti sigurni da su omogućili end-to-end enkripciju prije početka sastanka, budući da nije uključena prema zadanim postavkama. Saxenino istraživanje također je otkrilo da vrste numeričkih kodova koje Zoom koristi također mogu biti sklone određenoj vrsti napada.
Dakle, korisnici Zooma mogu osjetiti određeno olakšanje jer je platforma već riješila glavna sigurnosna pitanja pokrenuta pritužbom FTC-a i sada nudi prvu fazu end-to-end enkripcije. Međutim, sudionici konferencije trebaju biti svjesni da ispravna upotreba novog end-to-end enkripcijskog načina zahtijeva posebnu pozornost kada dođe vrijeme za postupak provjere koda na početku poziva.