Wat Zoom se sekuriteitspogings vir jou beteken

INHOUDSOPGAWE:

Wat Zoom se sekuriteitspogings vir jou beteken
Wat Zoom se sekuriteitspogings vir jou beteken
Anonim

Sleutel wegneemetes

  • Die Amerikaanse Federale Handelskommissie het op 9 November aangekondig dat hulle 'n skikking met Zoom bereik het nadat hulle beweer het dat dit gebruikers mislei het met betrekking tot sekuriteit.
  • Die skikking vereis dat Zoom 'n "omvattende sekuriteitsprogram" in plek stel.
  • Zoom sê dit het reeds die kwessies aangespreek, en het onlangs aangekondig dat dit end-tot-end-enkripsie sal instel.
Image
Image

Die gewilde konferensieplatform Zoom versterk sy sekuriteitspraktyke as deel van 'n skikking met die Amerikaanse Federale Handelskommissie (FTC), na aanleiding van die agentskap se bewerings dat dit gebruikers mislei het oor sy vlak van sekuriteit.

Zoom het binne 'n paar maande 'n huishoudelike naam geword, met die wêreld wat hulle tot sy videokonferensieplatform gewend het weens die pandemie wat persoonlike vergaderings ernstig beperk. 'n FTC-klag het egter beweer dat Zoom "by 'n reeks misleidende en onbillike praktyke betrokke was wat die veiligheid van sy gebruikers ondermyn het."

Dit het gevolg op ondersoek van sekuriteitskenners vroeër vanjaar, wat bevind het dat die platform nie end-tot-end-enkripsie gebruik nie, ondanks bemarkingseise. Zoom het ook ander sekuriteitskwessies gesien tydens die toename in gewildheid, soos onwelkome deelnemers wat vergaderings verongeluk het in 'n praktyk genaamd "zoombombing." As deel van die FTC-skikking het Zoom hom daartoe verbind om 'n "omvattende sekuriteitsprogram" te implementeer.

"Gedurende die pandemie gebruik feitlik almal - gesinne, skole, sosiale groepe, besighede - videokonferensies om te kommunikeer, wat die sekuriteit van hierdie platforms meer krities as ooit maak," Andrew Smith, direkteur van die FTC se Buro vir Verbruikers. Beskerming sê in die agentskap se persverklaring.

"Zoom se sekuriteitspraktyke het nie met sy beloftes ooreenstem nie, en hierdie aksie sal help om seker te maak dat Zoom-vergaderings en data oor Zoom-gebruikers beskerm word."

Regeringsondersoek

Die FTC-klag beweer dat Zoom sy gebruikers mislei het oor verskeie sekuriteitsverwante kwessies, waarvan die belangrikste verband hou met eise wat gemaak word oor end-tot-end-enkripsie.

Image
Image

Dit het gesê dat Zoom sedert 2016 beweer dat hy end-tot-end, 256-bis-enkripsie vir Zoom-oproepe bied, maar het werklik 'n laer vlak van sekuriteit verskaf. Wanneer end-tot-end-enkripsie geaktiveer is, het slegs deelnemers aan 'n oproep of klets toegang tot inligting wat uitgeruil word, nie Zoom, die regering of enige ander party nie.

Daarbenewens beweer die klagte dat Zoom opgetekende, ongeënkripteerde vergaderings op sy bedieners gestoor het vir tot 60 dae wanneer dit vir sommige van sy gebruikers gesê het dat hulle onmiddellik geënkripteer sou word.

Nog 'n probleem hou verband met Mac-sagteware genaamd ZoomOpener, wat op gebruikers se rekenaars gebly het selfs wanneer Zoom uitgevee is en hulle kwesbaar vir kuberkrakers kon gemaak het. "Hierdie sagteware het 'n Safari-blaaier-sekuriteitinstelling omseil en gebruikers in gevaar gestel - dit kon byvoorbeeld vreemdelinge toegelaat het om op gebruikers deur hul rekenaar se webkameras te spioeneer," verduidelik FTC-verbruikersonderwysspesialis, Alvaro Puig, in 'n blogpos.

Zoom se reaksie

Terwyl Zoom eers onlangs die FTC-klag afgehandel het, het die maatskappy in 'n e-pos aan Lifewire gesê hy het die kwessies "reeds aangespreek".

"Die sekuriteit van ons gebruikers is 'n topprioriteit vir Zoom," het 'n maatskappywoordvoerder in 'n e-pos aan Lifewire gesê. Zoom het verskeie stappe gedoen om op die FTC se bewerings te reageer, insluitend die bekendstelling van 'n 90-dae-plan in April wat meer as 100 kenmerke opgelewer het wat met privaatheid en sekuriteit verband hou.

Image
Image

Zoom het einde Oktober end-tot-end-enkripsie bekendgestel, moontlik gemaak deur sy Mei-verkryging van 'n maatskappy genaamd Keybase. Die end-tot-end-enkripsie is steeds in wat Zoom 'tegniese voorskou'-modus noem, en die maatskappy sê dat Zoom se bedieners nie toegang tot die enkripsiesleutels het nie. Vir eers is sommige kenmerke beperk in end-tot-end-enkripsiemodus, insluitend die vermoë om by die vergadering aan te sluit voor die gasheer- en wegbreekkamers.

Hoe om Zoom se end-tot-end-enkripsie te gebruik

Universiteit van Alabama in Birmingham rekenaarwetenskap professor Nitesh Saxena sê dat Zoom se pogings om 'n ware end-tot-end enkripsiestelsel te implementeer 'n "stap in die regte rigting" is, maar merk op dat daar nog werk is om te doen.

"Daar is beduidende kwessies wat aangespreek moet word voordat dit werklik die vlak van sekuriteit kan verskaf wat gebruikers van Zoom-oproepe mag eis," sê hy.

Saxena, wat Zoom se sekuriteit breedvoerig bestudeer het, sê die sekuriteit van sy end-tot-end-enkripsiemetode berus uiteindelik op die proses wat gebruik word om vergaderingdeelnemers se kriptografiese sleutels te valideer ('n sleutelstap om afluisteraars uit die oproep te hou)).

In hierdie geval gaan gebruikers dit self na voordat hulle die vergadering begin. In Zoom se eerste fase van sy end-tot-end-enkripsieprotokol lees die vergaderinggasheer 'n 39-syfer-kode wat die ander op hul skerm moet nagaan.

Zoom se sekuriteitspraktyke het nie met sy beloftes ooreenstem nie, en hierdie aksie sal help om seker te maak dat Zoom-vergaderings en data oor Zoom-gebruikers beskerm word.

Volgens navorsing deur Saxena en sy span kan hierdie benadering tot menslike foute geneig wees as iemand nie aandag gee nie en per ongeluk 'n kode aanvaar wat nie ooreenstem nie of die proses heeltemal oorslaan.

Vergaderingsgashere en -deelnemers moet ook seker maak dat hulle end-tot-end-enkripsie aktiveer voordat die vergadering begin word, aangesien dit nie by verstek aangeskakel is nie. Saxena se navorsing het ook bevind dat die tipe numeriese kodes wat Zoom gebruik ook geneig kan wees tot 'n sekere tipe aanval.

Dus, Zoom-gebruikers kan 'n mate van verligting voel dat die platform reeds die belangrikste sekuriteitskwessies aangespreek het wat deur die FTC-klag geopper is, en bied nou die eerste fase van end-tot-end-enkripsie. Konferensiedeelnemers moet egter daarvan bewus wees dat die gebruik van die nuwe end-tot-end-enkripsiemodus korrek vereis dat ekstra aandag gegee word wanneer dit tyd is vir die kodevalideringsproses aan die begin van die oproep.

Aanbeveel: