Key takeaways
- U. S. Federal Trade Commission meddelade den 9 november att de hade nått en uppgörelse med Zoom efter att ha påstått att de vilseledde användare angående säkerhet.
- Förlikningen kräver att Zoom sätter in ett "omfattande säkerhetsprogram" på plats.
- Zoom säger att det redan har åtgärdat problemen och tillkännagav nyligen att det skulle införa end-to-end-kryptering.
Den populära konferensplattformen Zoom förstärker sina säkerhetsrutiner som en del av en uppgörelse med U. S. F. Federal Trade Commission (FTC), efter byråns anklagelser om att den vilseledde användare om dess säkerhetsnivå.
Zoom har blivit ett känt namn på bara några månader, och världen vänder sig till sin videokonferensplattform på grund av pandemin som kraftigt begränsar personliga möten. Ett FTC-klagomål hävdade dock att Zoom "deltog i en serie bedrägliga och orättvisa metoder som undergrävde användarnas säkerhet."
Detta följde på granskning från säkerhetsexperter tidigare i år, som fann att plattformen inte använde end-to-end-kryptering trots marknadsföringspåståenden. Zoom har också sett andra säkerhetsproblem under dess ökade popularitet, som ovälkomna deltagare som kraschar möten i en praxis som kallas "zoombombing". Som en del av FTC-uppgörelsen har Zoom förbundit sig att implementera ett "omfattande säkerhetsprogram."
"Under pandemin använder praktiskt taget alla - familjer, skolor, sociala grupper, företag - videokonferenser för att kommunicera, vilket gör säkerheten för dessa plattformar mer kritisk än någonsin," Andrew Smith, chef för FTC:s konsumentbyrå Det säger Skydd i myndighetens pressmeddelande.
"Zooms säkerhetspraxis stämde inte överens med dess löften, och den här åtgärden kommer att hjälpa till att säkerställa att Zoom-möten och data om Zoom-användare är skyddade."
Regeringsgranskning
FTC-klagomålet hävdar att Zoom vilselett sina användare angående flera säkerhetsrelaterade frågor, varav den viktigaste avser påståenden om end-to-end-kryptering.
Det stod att Zoom har gjort anspråk på att erbjuda end-to-end, 256-bitars kryptering för Zoom-samtal sedan 2016, men verkligen gett en lägre säkerhetsnivå. När end-to-end-kryptering är aktiverad har endast deltagare i ett samtal eller chatt tillgång till information som utbyts, inte Zoom, regeringen eller någon annan part.
Dessutom hävdar klagomålet att Zoom lagrade inspelade, okrypterade möten på sina servrar i upp till 60 dagar när det hade berättat för några av sina användare att de omedelbart skulle krypteras.
Ett annat problem gäller Mac-programvaran ZoomOpener, som stannade kvar på användarnas datorer även när Zoom togs bort och som kunde ha gjort dem sårbara för hackare. "Den här programvaran kringgick en säkerhetsinställning för webbläsaren Safari och satte användare i riskzonen - den kunde till exempel ha tillåtit främlingar att spionera på användare genom deras dators webbkameror", förklarar FTC Consumer Education Specialist, Alvaro Puig, i ett blogginlägg.
Zooms svar
Medan Zoom nyligen löste FTC-klagomålet, sa företaget till Lifewire i ett e-postmeddelande att det "redan åtgärdat" problemen.
"Säkerheten för våra användare är en högsta prioritet för Zoom", sa en talesperson för företaget till Lifewire i ett e-postmeddelande. Zoom har vidtagit flera steg för att svara på FTC:s anklagelser, inklusive lanseringen av en 90-dagarsplan i april som gav mer än 100 funktioner relaterade till integritet och säkerhet.
Zoom introducerade end-to-end-kryptering i slutet av oktober, vilket möjliggjordes av dess förvärv i maj av ett företag som heter Keybase. End-to-end-krypteringen är fortfarande i vad Zoom kallar "technical preview"-läge, och företaget säger att Zooms servrar inte har tillgång till krypteringsnycklarna. För närvarande är vissa funktioner begränsade i end-to-end-krypteringsläge, inklusive möjligheten att gå med i mötet före värd- och grupprum.
Hur man använder Zooms end-to-end-kryptering
University of Alabama at Birmingham, professor i datavetenskap, Nitesh Saxena, säger att Zooms ansträngningar att implementera ett riktigt end-to-end-krypteringssystem är ett "steg i rätt riktning", men konstaterar att det fortfarande finns arbete att göra.
"Det finns betydande problem som måste åtgärdas innan detta verkligen kan ge den säkerhetsnivå som användare kan kräva av Zoom-samtal", säger han.
Saxena, som har studerat Zooms säkerhet noggrant, säger att säkerheten för dess end-to-end-krypteringsmetod i slutändan beror på den process som används för att validera mötesdeltagarnas kryptografiska nycklar (ett nyckelsteg för att hålla avlyssnare borta från samtalet).
I det här fallet kontrollerar användarna detta själva innan mötet påbörjas. I Zooms första fas av sitt end-to-end-krypteringsprotokoll läser mötesvärden en 39-siffrig kod som de andra måste kontrollera på sin skärm.
Zooms säkerhetspraxis stämde inte överens med dess löften, och den här åtgärden kommer att hjälpa till att säkerställa att Zoom-möten och data om Zoom-användare är skyddade.
Enligt forskning från Saxena och hans team kan detta tillvägagångssätt vara utsatt för mänskliga fel om någon inte är uppmärksam och av misstag accepterar en kod som inte matchar eller hoppar över processen helt.
Mötesvärdar och deltagare måste också se till att de aktiverar end-to-end-kryptering innan mötet påbörjas, eftersom det inte är aktiverat som standard. Saxenas forskning fann också att de typer av numeriska koder som Zoom använder också kan vara benägna för en viss typ av attack.
Så Zoom-användare kan känna en viss lättnad över att plattformen redan har tagit itu med de viktigaste säkerhetsproblemen som tagits upp av FTC-klagomålet och nu erbjuder den första fasen av end-to-end-kryptering. Konferensdeltagare bör dock vara medvetna om att korrekt användning av det nya end-to-end-krypteringsläget kräver extra uppmärksamhet när det är dags för kodvalideringsprocessen i början av samtalet.
