Klíčové poznatky
- Federální obchodní komise USA 9. listopadu oznámila, že dosáhla dohody se společností Zoom poté, co tvrdila, že uvedla uživatele v omyl ohledně bezpečnosti.
- Vyrovnání vyžaduje, aby Zoom zavedl „komplexní bezpečnostní program“.
- Zoom říká, že už problémy vyřešil a nedávno oznámil, že zavede end-to-end šifrování.
Oblíbená konferenční platforma Zoom zdokonaluje své bezpečnostní postupy v rámci dohody s americkou Federální obchodní komisí (FTC) po obviněních agentury, že uvedla uživatele v omyl ohledně úrovně zabezpečení.
Zoom se stal známým během několika měsíců a svět se obrátil na platformu pro videokonference kvůli pandemii, která vážně omezuje osobní schůzky. Stížnost FTC však tvrdila, že Zoom „se zapojil do řady klamavých a nekalých praktik, které podkopávaly bezpečnost svých uživatelů.“
Toto následovalo po kontrole bezpečnostních expertů na začátku tohoto roku, kteří zjistili, že platforma nepoužívá end-to-end šifrování navzdory marketingovým tvrzením. Zoom také zaznamenal další bezpečnostní problémy během jeho nárůstu popularity, jako například nevítaní účastníci, kteří shazují schůzky v praxi zvané „zoombombing“. V rámci urovnání FTC se Zoom zavázal implementovat „komplexní bezpečnostní program.“
„Během pandemie prakticky všichni – rodiny, školy, sociální skupiny, firmy – využívají ke komunikaci videokonference, a proto je bezpečnost těchto platforem kritičtější než kdy předtím,“Andrew Smith, ředitel Úřadu spotřebitelů FTC. Ochrana říká v tiskové zprávě agentury.
"Zabezpečovací postupy Zoomu neodpovídaly jeho slibům a tato akce pomůže zajistit ochranu schůzek Zoom a dat o uživatelích Zoom."
Vládní kontrola
Stížnost FTC tvrdí, že Zoom uvedl své uživatele v omyl ohledně několika problémů souvisejících se zabezpečením, z nichž nejdůležitější se týká tvrzení o šifrování typu end-to-end.
Říká, že Zoom od roku 2016 tvrdí, že nabízí end-to-end 256bitové šifrování pro hovory Zoom, ale ve skutečnosti poskytuje nižší úroveň zabezpečení. Když je povoleno šifrování end-to-end, mají k vyměňovaným informacím přístup pouze účastníci hovoru nebo chatu, nikoli Zoom, vláda ani žádná jiná strana.
Stížnost navíc tvrdí, že Zoom ukládal na svých serverech zaznamenané, nešifrované schůzky po dobu až 60 dnů, když některým svým uživatelům řekl, že budou okamžitě zašifrovány.
Další problém se týká softwaru pro Mac s názvem ZoomOpener, který zůstal v počítačích uživatelů i při smazání Zoomu a mohl je učinit zranitelnými vůči hackerům. „Tento software obešel nastavení zabezpečení prohlížeče Safari a vystavil uživatele riziku – mohl například umožnit cizím lidem špehovat uživatele prostřednictvím webových kamer jejich počítače,“vysvětluje v blogovém příspěvku specialista FTC Consumer Education Alvaro Puig.
Odpověď aplikace Zoom
Zatímco společnost Zoom vyřídila stížnost FTC teprve nedávno, společnost Lifewire v e-mailu sdělila, že problémy „již vyřešila“.
„Bezpečnost našich uživatelů je pro Zoom nejvyšší prioritou,“řekl Lifewire v e-mailu mluvčí společnosti. Zoom podnikl několik kroků, aby reagoval na obvinění FTC, včetně spuštění 90denního plánu v dubnu, který přinesl více než 100 funkcí souvisejících s ochranou soukromí a zabezpečením.
Zoom koncem října zavedl end-to-end šifrování, což umožnila květnová akvizice společnosti Keybase. Šifrování typu end-to-end je stále v režimu, který Zoom nazývá „technický náhled“, a společnost říká, že servery Zoom nemají přístup k šifrovacím klíčům. V současné době jsou některé funkce v režimu šifrování end-to-end omezeny, včetně možnosti připojit se ke schůzce před hostitelem a dílčími místnostmi.
Jak používat end-to-end šifrování Zoom
Profesor informatiky z Alabamské univerzity v Birminghamu Nitesh Saxena říká, že úsilí společnosti Zoom o implementaci skutečného end-to-end šifrovacího systému je „krokem správným směrem“, ale poznamenává, že je stále na čem pracovat.
„Existují významné problémy, které je třeba vyřešit, než to skutečně poskytne úroveň zabezpečení, kterou uživatelé mohou vyžadovat od volání Zoom,“říká.
Saxena, která rozsáhle studovala zabezpečení společnosti Zoom, říká, že zabezpečení její metody end-to-end šifrování v konečném důsledku závisí na procesu používaném k ověření kryptografických klíčů účastníků schůzky (klíčový krok, jak zabránit odposlechům v hovoru).
V tomto případě si to uživatelé před zahájením schůzky sami zkontrolují. V první fázi protokolu end-to-end šifrování společnosti Zoom přečte hostitel schůzky 39místný kód, který musí ostatní zkontrolovat na obrazovce.
Zabezpečovací postupy Zoomu neodpovídaly jeho slibům a tato akce pomůže zajistit, aby schůzky Zoom a data o uživatelích Zoom byla chráněna.
Podle výzkumu Saxeny a jeho týmu by tento přístup mohl být náchylný k lidské chybě, pokud někdo nedává pozor a náhodou přijme kód, který se neshoduje, nebo proces úplně přeskočí.
Pořadatelé a účastníci schůzky se také musí před zahájením schůzky ujistit, že mají zapnuté šifrování typu end-to-end, protože ve výchozím nastavení není zapnuto. Výzkum Saxeny také zjistil, že typy číselných kódů, které Zoom používá, by také mohly být náchylné k určitému typu útoku.
Uživatelé Zoomu mohou pociťovat určitou úlevu, že platforma již řešila hlavní bezpečnostní problémy vznesené stížností FTC a nyní nabízí první fázi šifrování typu end-to-end. Účastníci konference by si však měli být vědomi toho, že správné používání nového režimu šifrování typu end-to-end vyžaduje zvýšenou pozornost, když nastane čas na proces ověření kódu na začátku hovoru.
