Folje kryesore
- Komisioni Federal i Tregtisë i SHBA-së njoftoi më 9 nëntor se kishte arritur një marrëveshje me Zoom pasi pretendonte se kishte mashtruar përdoruesit në lidhje me sigurinë.
- Zgjidhja kërkon Zoom për të vendosur një "program gjithëpërfshirës sigurie" në vend.
- Zoom thotë se i ka trajtuar tashmë çështjet dhe së fundi njoftoi se do të prezantonte enkriptimin nga fundi në fund.
Platforma e njohur e konferencave Zoom po përforcon praktikat e saj të sigurisë si pjesë e një marrëveshjeje me Komisionin Federal të Tregtisë së SHBA (FTC), pas pretendimeve të agjencisë se ka mashtruar përdoruesit në lidhje me nivelin e saj të sigurisë.
Zoom është bërë një emër i njohur në vetëm pak muaj, me botën që po i drejtohet platformës së saj të konferencave me video për shkak të pandemisë që kufizon rëndë takimet personale. Megjithatë, një ankesë e FTC-së pretendoi se Zoom "u përfshi në një sërë praktikash mashtruese dhe të padrejta që minuan sigurinë e përdoruesve të tij."
Kjo pasoi shqyrtimin nga ekspertët e sigurisë në fillim të këtij viti, të cilët zbuluan se platforma nuk po përdorte kriptim nga skaji në fund, pavarësisht pretendimeve të marketingut. Zoom ka parë gjithashtu çështje të tjera sigurie gjatë rritjes së popullaritetit të tij, të tilla si pjesëmarrësit e padëshiruar që përplasin takimet në një praktikë të quajtur "zoombombing". Si pjesë e marrëveshjes FTC, Zoom është zotuar të zbatojë një "program gjithëpërfshirës sigurie".
"Gjatë pandemisë, praktikisht të gjithë - familjet, shkollat, grupet sociale, bizneset - po përdorin videokonferencat për të komunikuar, duke e bërë sigurinë e këtyre platformave më kritike se kurrë," Andrew Smith, drejtor i Byrosë së Konsumatorëve të FTC Mbrojtja thotë në njoftimin për shtyp të agjencisë.
"Praktikat e sigurisë së Zoom nuk përputheshin me premtimet e tij dhe ky veprim do të ndihmojë për t'u siguruar që takimet e Zoom dhe të dhënat rreth përdoruesve të Zoom janë të mbrojtura."
Shqyrtimi i Qeverisë
Ankesa e FTC-së pretendon se Zoom mashtronte përdoruesit e tij për disa çështje të lidhura me sigurinë, më e rëndësishmja prej të cilave lidhet me pretendimet e bëra në lidhje me enkriptimin nga fundi në fund.
Ai tha se Zoom ka pretenduar të ofrojë enkriptim nga fundi në fund, 256-bit për thirrjet Zoom që nga viti 2016, por në të vërtetë ka ofruar një nivel më të ulët sigurie. Kur aktivizohet kriptimi nga skaji në skaj, vetëm pjesëmarrësit në një telefonatë ose bisedë kanë qasje në informacionin e shkëmbyer - jo Zoom, qeveria ose ndonjë palë tjetër.
Përveç kësaj, ankesa pretendon se Zoom ruante takime të regjistruara dhe të pakriptuara në serverët e tij deri në 60 ditë kur u kishte thënë disa përdoruesve të tij se do të kodoheshin menjëherë.
Një çështje tjetër lidhet me softuerin Mac të quajtur ZoomOpener, i cili qëndroi në kompjuterët e përdoruesve edhe kur fshinte Zoom dhe mund t'i kishte bërë ata të prekshëm ndaj hakerëve. "Ky softuer anashkaloi një cilësim sigurie të shfletuesit Safari dhe i vuri përdoruesit në rrezik - për shembull, mund të kishte lejuar të huajt të spiunonin përdoruesit përmes kamerave të internetit të kompjuterit të tyre," shpjegon në një postim në blog Specialisti i Edukimit të Konsumatorit të FTC, Alvaro Puig.
Përgjigja e Zoom
Ndërsa Zoom vetëm kohët e fundit zgjidhi ankesën e FTC-së, kompania i tha Lifewire në një email se ajo "tashmë i ka adresuar" çështjet.
"Siguria e përdoruesve tanë është një përparësi kryesore për Zoom," tha një zëdhënës i kompanisë për Lifewire në një email. Zoom ka ndërmarrë disa hapa për t'iu përgjigjur pretendimeve të FTC-së, duke përfshirë nisjen e një plani 90-ditor në prill që dha më shumë se 100 veçori në lidhje me privatësinë dhe sigurinë.
Zoom prezantoi enkriptimin nga fundi në fund në fund të tetorit, i mundësuar nga blerja në maj e një kompanie të quajtur Keybase. Kriptimi nga fundi në fund është ende në atë që Zoom e quan modalitetin "parapamje teknike" dhe kompania thotë se serverët e Zoom nuk kanë qasje në çelësat e enkriptimit. Për momentin, disa veçori janë të kufizuara në modalitetin e enkriptimit nga fundi në fund, duke përfshirë mundësinë për t'u bashkuar me takimin përpara dhomave të hostit dhe të ndarjes.
Si të përdorni enkriptimin nga fundi në fund të Zoom
Profesori i shkencave kompjuterike të Universitetit të Alabamës në Birmingham, Nitesh Saxena, thotë se përpjekjet e Zoom për të zbatuar një sistem të vërtetë enkriptimi nga fundi në fund janë një "hap në drejtimin e duhur", por vëren se ka ende punë për të bërë.
"Ka çështje të rëndësishme që duhen adresuar përpara se kjo të sigurojë me të vërtetë nivelin e sigurisë që përdoruesit mund të kërkojnë nga telefonatat e Zoom," thotë ai.
Saxena, e cila ka studiuar gjerësisht sigurinë e Zoom, thotë se siguria e metodës së tij të enkriptimit nga fundi në fund varet në fund të fundit në procesin e përdorur për të vërtetuar çelësat kriptografikë të pjesëmarrësve në takim (një hap kyç për t'i mbajtur përgjuesit jashtë thirrjes).
Në këtë rast, përdoruesit e kontrollojnë vetë këtë përpara se të fillojnë takimin. Në fazën e parë të Zoom-it të protokollit të tij të enkriptimit nga fundi në fund, pritësi i takimit lexon një kod 39-shifror që të tjerët duhet ta kontrollojnë në ekranin e tyre.
Praktikat e sigurisë të Zoom nuk përputheshin me premtimet e tij dhe ky veprim do të ndihmojë për t'u siguruar që takimet e Zoom dhe të dhënat rreth përdoruesve të Zoom janë të mbrojtura.
Sipas hulumtimit nga Saxena dhe ekipi i tij, kjo qasje mund të jetë e prirur ndaj gabimeve njerëzore nëse dikush nuk po i kushton vëmendje dhe aksidentalisht pranon një kod që nuk përputhet ose e anashkalon plotësisht procesin.
Gjithashtu, organizatorët dhe pjesëmarrësit e takimit duhet të sigurohen që të aktivizojnë enkriptimin nga skaji në fund përpara fillimit të takimit, pasi ai nuk është i aktivizuar si parazgjedhje. Hulumtimi i Saxena zbuloi gjithashtu se llojet e kodeve numerike që Zoom përdor mund të jenë gjithashtu të prirura ndaj një lloji të caktuar sulmi.
Pra, përdoruesit e Zoom mund të ndiejnë lehtësim që platforma ka trajtuar tashmë çështjet kryesore të sigurisë të ngritura nga ankesa e FTC dhe tani ofron fazën e parë të kriptimit nga fundi në fund. Megjithatë, pjesëmarrësit e konferencës duhet të jenë të vetëdijshëm se përdorimi i saktë i modalitetit të ri të kriptimit nga skaji në fund kërkon t'i kushtohet vëmendje shtesë kur është koha për procesin e vërtetimit të kodit në fillim të telefonatës.