Ключевые выводы
- Федеральная торговая комиссия США объявила 9 ноября, что она достигла соглашения с Zoom после заявления о том, что он вводит пользователей в заблуждение относительно безопасности.
- Мировое соглашение требует от Zoom внедрения «комплексной программы безопасности».
- Zoom говорит, что уже устранил проблемы, и недавно объявил, что введет сквозное шифрование.
Популярная платформа для проведения конференций Zoom усиливает свои методы обеспечения безопасности в рамках соглашения с Федеральной торговой комиссией США (FTC) после обвинений агентства в том, что оно вводит пользователей в заблуждение относительно уровня безопасности.
Zoom стал нарицательным всего за несколько месяцев, и мир обратился к его платформе для видеоконференций из-за пандемии, резко ограничивающей личные встречи. Однако в жалобе Федеральной торговой комиссии утверждалось, что Zoom «участвовал в ряде мошеннических и недобросовестных действий, которые подрывали безопасность его пользователей».
Это произошло после проверки со стороны экспертов по безопасности в начале этого года, которые обнаружили, что платформа не использует сквозное шифрование, несмотря на маркетинговые заявления. Zoom также столкнулся с другими проблемами безопасности во время роста своей популярности, такими как нежелательные участники, срывающие встречи в практике, называемой «зумбомбинг». В рамках урегулирования FTC Zoom обязалась внедрить «комплексную программу безопасности».
«Во время пандемии практически все - семьи, школы, социальные группы, предприятия - используют видеоконференцсвязь для общения, что делает безопасность этих платформ более важной, чем когда-либо», - Эндрю Смит, директор Бюро по защите прав потребителей FTC. Об этом говорится в сообщении защиты.
"Практики безопасности Zoom не соответствуют его обещаниям, и это действие поможет обеспечить защиту собраний Zoom и данных о пользователях Zoom."
Проверка со стороны правительства
В жалобе Федеральной торговой комиссии утверждается, что Zoom ввел своих пользователей в заблуждение относительно нескольких проблем, связанных с безопасностью, наиболее важная из которых связана с заявлениями о сквозном шифровании.
В нем говорилось, что Zoom заявляет о сквозном 256-битном шифровании для вызовов Zoom с 2016 года, но на самом деле обеспечивает более низкий уровень безопасности. Когда сквозное шифрование включено, доступ к информации, которой обмениваются, имеют только участники разговора или чата, а не Zoom, правительство или любая другая сторона.
Кроме того, в жалобе утверждается, что Zoom хранил записанные незашифрованные встречи на своих серверах до 60 дней, когда он сообщил некоторым своим пользователям, что они будут немедленно зашифрованы.
Еще одна проблема связана с программным обеспечением Mac под названием ZoomOpener, которое оставалось на компьютерах пользователей даже после удаления Zoom и могло сделать их уязвимыми для хакеров. «Это программное обеспечение обошло настройки безопасности браузера Safari и подвергло пользователей риску - например, оно могло позволить незнакомцам шпионить за пользователями через веб-камеры их компьютеров», - объясняет в своем блоге специалист FTC по обучению потребителей Альваро Пуч.
Ответ Zoom
Хотя Zoom только недавно урегулировал жалобу FTC, компания сообщила Lifewire по электронной почте, что она «уже решила» проблемы.
«Безопасность наших пользователей является главным приоритетом для Zoom», - сообщил представитель компании Lifewire в электронном письме. Zoom предпринял несколько шагов, чтобы ответить на обвинения FTC, включая запуск 90-дневного плана в апреле, который дал более 100 функций, связанных с конфиденциальностью и безопасностью.
Zoom внедрила сквозное шифрование в конце октября, что стало возможным благодаря приобретению в мае компании Keybase. Сквозное шифрование все еще находится в режиме, который Zoom называет «техническим предварительным просмотром», и компания заявляет, что серверы Zoom не имеют доступа к ключам шифрования. На данный момент некоторые функции ограничены в режиме сквозного шифрования, в том числе возможность присоединиться к собранию до организатора и комнаты обсуждения.
Как использовать сквозное шифрование Zoom
Профессор компьютерных наук Университета Алабамы в Бирмингеме Нитеш Саксена говорит, что усилия Zoom по внедрению настоящей системы сквозного шифрования являются «шагом в правильном направлении», но отмечает, что еще многое предстоит сделать.
«Есть серьезные проблемы, которые необходимо решить, прежде чем это действительно сможет обеспечить уровень безопасности, который пользователи могут требовать от вызовов Zoom», - говорит он.
Саксена, тщательно изучившая безопасность Zoom, говорит, что безопасность его метода сквозного шифрования в конечном итоге зависит от процесса, используемого для проверки криптографических ключей участников встречи (ключевой шаг для предотвращения прослушивания разговора).).
В этом случае пользователи сами проверяют это перед началом встречи. На первом этапе протокола сквозного шифрования Zoom организатор собрания читает 39-значный код, который остальные должны проверить на своем экране.
Практики безопасности Zoom не соответствуют его обещаниям, и это действие поможет обеспечить защиту собраний Zoom и данных о пользователях Zoom.
Согласно исследованиям Саксены и его команды, этот подход может быть подвержен человеческим ошибкам, если кто-то не обращает внимания и случайно принимает несоответствующий код или полностью пропускает процесс.
Кроме того, организаторы и участники встречи должны убедиться, что они включили сквозное шифрование перед началом встречи, так как оно не включено по умолчанию. Исследование Saxena также показало, что типы числовых кодов, которые использует Zoom, также могут быть подвержены атакам определенного типа.
Итак, пользователи Zoom могут почувствовать некоторое облегчение, поскольку платформа уже решила основные проблемы безопасности, поднятые жалобой FTC, и теперь предлагает первую фазу сквозного шифрования. Тем не менее, участники конференции должны знать, что правильное использование нового режима сквозного шифрования требует особого внимания при проверке кода в начале разговора.
