Atslēgas līdzņemšanai
- ASV Federālā tirdzniecības komisija 9. novembrī paziņoja, ka ir panākusi izlīgumu ar Zoom, jo apgalvoja, ka tā maldina lietotājus attiecībā uz drošību.
- Izlīgumam ir nepieciešams, lai Zoom ieviestu "visaptverošu drošības programmu".
- Zoom saka, ka tas jau ir novērsis problēmas, un nesen paziņoja, ka ieviesīs pilnīgu šifrēšanu.
Populārā konferenču platforma Zoom pastiprina savu drošības praksi, vienojoties ar ASV Federālo tirdzniecības komisiju (FTC), ņemot vērā aģentūras apgalvojumus, ka tā maldinājusi lietotājus par tās drošības līmeni.
Zoom ir kļuvis par populāru nosaukumu tikai dažu mēnešu laikā, pasaulei pievēršoties tās videokonferenču platformai, jo pandēmija ievērojami ierobežo klātienes tikšanās. Tomēr FTC sūdzībā tika apgalvots, ka Zoom "piedalījās virknē maldinošu un negodīgu darbību, kas iedragāja tā lietotāju drošību".
Tas tika veikts pēc drošības ekspertu pārbaudes šī gada sākumā, kuri atklāja, ka platforma neizmanto pilnīgu šifrēšanu, neskatoties uz mārketinga apgalvojumiem. Zoom popularitātes pieauguma laikā ir novērojamas arī citas drošības problēmas, piemēram, nevēlami dalībnieki sapulcēs avārijās praksē, ko sauc par "zoombombing". FTC izlīguma ietvaros Zoom ir apņēmies ieviest "visaptverošu drošības programmu".
"Pandēmijas laikā praktiski visi - ģimenes, skolas, sociālās grupas, uzņēmumi - saziņai izmanto videokonferences, padarot šo platformu drošību svarīgāku nekā jebkad agrāk," sacīja Endrjū Smits, FTC Patērētāju biroja direktors. Aizsardzība teikts aģentūras paziņojumā presei.
"Zoom drošības prakse neatbilda tās solījumiem, un šī darbība palīdzēs nodrošināt, ka Zoom sapulces un dati par Zoom lietotājiem ir aizsargāti."
Valdības pārbaude
FTC sūdzībā tiek apgalvots, ka Zoom maldināja savus lietotājus par vairākām ar drošību saistītām problēmām, no kurām vissvarīgākā ir saistīta ar apgalvojumiem par pilnīgu šifrēšanu.
Tajā bija teikts, ka Zoom kopš 2016. gada ir apgalvojis, ka piedāvā pilnīgu 256 bitu šifrēšanu tālummaiņas zvaniem, taču tas patiešām nodrošināja zemāku drošības līmeni. Ja ir iespējota pilnīga šifrēšana, tikai zvana vai tērzēšanas dalībnieki var piekļūt informācijai, ar kuru tiek apmainīta, nevis Zoom, valdība vai kāda cita puse.
Turklāt sūdzībā tiek apgalvots, ka Zoom savos serveros saglabāja ierakstītas, nešifrētas sapulces līdz pat 60 dienām, kad tā dažiem lietotājiem bija paziņojusi, ka tās nekavējoties tiks šifrētas.
Vēl viena problēma ir saistīta ar Mac programmatūru ZoomOpener, kas palika lietotāju datoros pat pēc Zoom dzēšanas un varēja padarīt tos neaizsargātus pret hakeriem. "Šī programmatūra apieta pārlūkprogrammas Safari drošības iestatījumu un pakļāva lietotājus riskam, piemēram, tā varēja ļaut svešiniekiem izspiegot lietotājus, izmantojot viņu datora tīmekļa kameras," emuāra ziņā skaidro FTC patērētāju izglītības speciālists Alvaro Puigs.
Zoom atbilde
Kamēr Zoom tikai nesen atrisināja FTC sūdzību, uzņēmums Lifewire e-pastā paziņoja, ka tas "jau ir novērsis" šīs problēmas.
"Mūsu lietotāju drošība ir Zoom galvenā prioritāte," e-pastā Lifewire sacīja uzņēmuma pārstāvis. Zoom ir veikusi vairākas darbības, lai reaģētu uz FTC apgalvojumiem, tostarp aprīlī ir ieviests 90 dienu plāns, kas nodrošināja vairāk nekā 100 ar privātumu un drošību saistītu funkciju.
Zoom oktobra beigās ieviesa pilnīgu šifrēšanu, kas kļuva iespējama, maijā iegādājoties uzņēmumu ar nosaukumu Keybase. Pilnīga šifrēšana joprojām ir tā, ko Zoom sauc par "tehniskā priekšskatījuma" režīmu, un uzņēmums saka, ka Zoom serveriem nav piekļuves šifrēšanas atslēgām. Pagaidām dažas funkcijas ir ierobežotas pilnīgas šifrēšanas režīmā, tostarp iespēja pievienoties sapulcei pirms saimniekdatora un sadalījuma telpām.
Kā izmantot tālummaiņas pilno šifrēšanu
Alabamas Universitāte Birmingemā datorzinātņu profesors Nitesh Saxena saka, ka Zoom centieni ieviest patiesu pilnīgu šifrēšanas sistēmu ir "solis pareizajā virzienā", taču atzīmē, ka joprojām ir jādara darbs.
"Ir būtiskas problēmas, kas ir jārisina, lai tas patiešām varētu nodrošināt tādu drošības līmeni, kādu lietotāji var pieprasīt no Zoom zvaniem," viņš saka.
Saxena, kas ir plaši pētījusi Zoom drošību, saka, ka tās pilnīgas šifrēšanas metodes drošība galu galā ir atkarīga no procesa, ko izmanto, lai apstiprinātu sapulces dalībnieku kriptogrāfiskās atslēgas (galvenais solis, lai noklausītāji netiktu iesaistīti zvanā).
Šajā gadījumā lietotāji pirms sapulces sākšanas to pārbauda paši. Zoom tiešās šifrēšanas protokola pirmajā fāzē sapulces saimnieks nolasa 39 ciparu kodu, kas pārējiem ir jāpārbauda savā ekrānā.
Zoom drošības prakse neatbilda tās solījumiem, un šī darbība palīdzēs nodrošināt, ka Zoom sapulces un dati par Zoom lietotājiem ir aizsargāti.
Saskaņā ar Saksena un viņa komandas veiktajiem pētījumiem, šī pieeja var būt pakļauta cilvēka kļūdām, ja kāds nepievērš uzmanību un nejauši pieņem kodu, kas neatbilst vai pilnībā izlaiž procesu.
Tāpat sapulces rīkotājiem un dalībniekiem pirms sapulces sākuma ir jāiespējo pilnīga šifrēšana, jo tā pēc noklusējuma nav ieslēgta. Saxena pētījumā arī atklājās, ka ciparu kodu veidi, ko izmanto Zoom, var būt pakļauti noteikta veida uzbrukumiem.
Tātad, Zoom lietotāji var sajust zināmu atvieglojumu, ka platforma jau ir risinājusi galvenās drošības problēmas, kas izvirzītas FTC sūdzībā, un tagad piedāvā pirmo pilnīgas šifrēšanas fāzi. Tomēr konferences dalībniekiem jāapzinās, ka, pareizi izmantojot jauno pilnīgas šifrēšanas režīmu, ir jāpievērš īpaša uzmanība, kad sarunas sākumā ir pienācis laiks koda apstiprināšanas procesam.
