Kľúčové poznatky
- Federálna obchodná komisia USA 9. novembra oznámila, že uzavrela dohodu so spoločnosťou Zoom po tom, čo tvrdila, že zavádzala používateľov, pokiaľ ide o bezpečnosť.
- Vyrovnanie vyžaduje, aby spoločnosť Zoom zaviedla „komplexný bezpečnostný program“.
- Zoom tvrdí, že už problémy riešil a nedávno oznámil, že zavedie end-to-end šifrovanie.
Populárna konferenčná platforma Zoom zdokonaľuje svoje bezpečnostné praktiky v rámci dohody s americkou Federálnou obchodnou komisiou (FTC) po obvineniach agentúry, že zavádzala používateľov o svojej úrovni zabezpečenia.
Zoom sa stal známym v priebehu niekoľkých mesiacov, pričom svet sa obrátil na platformu videokonferencií v dôsledku pandémie, ktorá výrazne obmedzuje osobné stretnutia. Sťažnosť FTC však tvrdila, že spoločnosť Zoom „sa zapojila do série klamlivých a nečestných praktík, ktoré podkopali bezpečnosť jej používateľov.“
Toto nasledovalo po kontrole bezpečnostných expertov začiatkom tohto roka, ktorí zistili, že platforma nepoužíva end-to-end šifrovanie napriek marketingovým tvrdeniam. Zoom zaznamenal počas svojho nárastu popularity aj ďalšie bezpečnostné problémy, napríklad nevítaní účastníci zlyhávali stretnutia v praxi nazývanej „zoombombing“. V rámci dohody FTC sa spoločnosť Zoom zaviazala implementovať „komplexný bezpečnostný program.“
„Počas pandémie prakticky každý – rodiny, školy, sociálne skupiny, firmy – používa videokonferencie na komunikáciu, vďaka čomu je bezpečnosť týchto platforiem kritickejšia než kedykoľvek predtým,“Andrew Smith, riaditeľ Úradu pre spotrebiteľov FTC. Ochrana hovorí v tlačovej správe agentúry.
"Bezpečnostné postupy spoločnosti Zoom nezodpovedali jej sľubom a táto akcia pomôže zabezpečiť, aby stretnutia a údaje o používateľoch aplikácie Zoom boli chránené."
Vládna kontrola
Sťažnosť FTC tvrdí, že spoločnosť Zoom zavádzala svojich používateľov v súvislosti s niekoľkými problémami súvisiacimi so zabezpečením, z ktorých najdôležitejší sa týka tvrdení o šifrovaní typu end-to-end.
Zoom tvrdil, že od roku 2016 ponúka komplexné 256-bitové šifrovanie pre hovory Zoom, ale v skutočnosti poskytuje nižšiu úroveň zabezpečenia. Keď je zapnuté šifrovanie end-to-end, k vymieňaným informáciám majú prístup iba účastníci hovoru alebo četu – nie Zoom, vláda ani žiadna iná strana.
Sťažnosť navyše tvrdí, že spoločnosť Zoom uchovávala zaznamenané, nezašifrované stretnutia na svojich serveroch až 60 dní, keď niektorým zo svojich používateľov oznámila, že budú okamžite zašifrované.
Ďalší problém sa týka softvéru Mac s názvom ZoomOpener, ktorý zostal v počítačoch používateľov aj po odstránení aplikácie Zoom a mohol ich spôsobiť, že budú zraniteľní voči hackerom. „Tento softvér obišiel nastavenie zabezpečenia prehliadača Safari a vystavil používateľov riziku – napríklad mohol umožniť cudzím ľuďom špehovať používateľov prostredníctvom webových kamier ich počítača,“vysvetľuje v blogovom príspevku špecialista FTC Consumer Education Alvaro Puig.
Odpoveď zoomu
Zatiaľ čo spoločnosť Zoom len nedávno vyriešila sťažnosť FTC, spoločnosť Lifewire v e-maile uviedla, že problémy „už riešila“.
„Bezpečnosť našich používateľov je pre Zoom najvyššou prioritou,“povedal hovorca spoločnosti Lifewire v e-maile. Zoom podnikol niekoľko krokov, aby reagoval na obvinenia FTC, vrátane spustenia 90-dňového plánu v apríli, ktorý priniesol viac ako 100 funkcií týkajúcich sa súkromia a bezpečnosti.
Zoom koncom októbra predstavil end-to-end šifrovanie, čo umožnila májová akvizícia spoločnosti s názvom Keybase. Šifrovanie typu end-to-end je stále v režime, ktorý Zoom nazýva „technický náhľad“, a spoločnosť tvrdí, že servery Zoom nemajú prístup k šifrovacím kľúčom. Nateraz sú niektoré funkcie v režime úplného šifrovania obmedzené, vrátane možnosti pripojiť sa k schôdzi pred hostiteľom a oddelenými miestnosťami.
Ako používať end-to-end šifrovanie aplikácie Zoom
Profesor informatiky Nitesh Saxena z Alabamskej univerzity v Birminghame hovorí, že úsilie spoločnosti Zoom implementovať skutočný systém šifrovania typu end-to-end je „krokom správnym smerom“, ale poznamenáva, že stále je na čom pracovať.
„Existujú významné problémy, ktoré je potrebné vyriešiť skôr, ako to bude skutočne poskytovať úroveň zabezpečenia, ktorú môžu používatelia požadovať od hovorov zoomu,“hovorí.
Saxena, ktorá podrobne študovala bezpečnosť spoločnosti Zoom, tvrdí, že bezpečnosť jej metódy end-to-end šifrovania sa v konečnom dôsledku opiera o proces používaný na overenie kryptografických kľúčov účastníkov stretnutia (kľúčový krok, ako zabrániť odpočúvaniu hovoru).
V tomto prípade si to používatelia pred začatím stretnutia sami overia. V prvej fáze komplexného šifrovacieho protokolu Zoom prečíta hostiteľ stretnutia 39-miestny kód, ktorý musia ostatní skontrolovať na obrazovke.
Bezpečnostné postupy spoločnosti Zoom sa nezhodovali s jej sľubmi a táto akcia pomôže zabezpečiť, aby stretnutia a údaje o používateľoch aplikácie Zoom boli chránené.
Podľa výskumu Saxeny a jeho tímu môže byť tento prístup náchylný na ľudskú chybu, ak niekto nevenuje pozornosť a náhodne prijme kód, ktorý sa nezhoduje alebo proces úplne preskočí.
Hostitelia a účastníci schôdze sa tiež musia pred začatím schôdze uistiť, že majú zapnuté šifrovanie typu end-to-end, pretože nie je predvolene zapnuté. Výskum spoločnosti Saxena tiež zistil, že typy číselných kódov, ktoré používa Zoom, môžu byť náchylné na určitý typ útoku.
Používatelia Zoom môžu teda pocítiť určitú úľavu, že platforma už riešila hlavné bezpečnostné problémy, ktoré vyvolala sťažnosť FTC, a teraz ponúka prvú fázu šifrovania typu end-to-end. Účastníci konferencie by si však mali byť vedomí toho, že správne používanie nového end-to-end šifrovacieho režimu si vyžaduje zvýšenú pozornosť, keď je čas na proces overenia kódu na začiatku hovoru.
