Tärkeimmät oppimispisteet
- Yhdysvaltain liittovaltion kauppakomissio ilmoitti 9. marraskuuta, että se oli päässyt sovintoon Zoomin kanssa sen väitettyä johtaneen käyttäjiä harhaan turvallisuuden suhteen.
- Sovittelu edellyttää, että Zoom toteuttaa «kattavan tietoturvaohjelman».
- Zoom sanoo, että se on jo käsitellyt ongelmat ja ilmoitti äskettäin ottavansa käyttöön päästä päähän -salauksen.
Valtion valvonta
FTC:n valitus väittää, että Zoom on johtanut käyttäjiään harhaan useissa turvallisuuteen liittyvissä asioissa, joista tärkein liittyy väitteisiin päästä päähän -salauksesta.
Vastaus Zoomista
Vaikka Zoom on vasta äskettäin käsitellyt FTC-valitusta, yhtiö kertoi: elinehto sähköpostissa, että se on «jo ratkaissut» ongelmat. «Käyttäjiemme turvallisuus on Zoomille etusijalla», sanoi yrityksen tiedottaja elinehto sähköpostissa. Zoom on ryhtynyt useisiin toimiin vastatakseen FTC:n väitteisiin, mukaan lukien 90 päivän suunnitelman käynnistäminen huhtikuussa, joka sisältää yli 100 yksityisyyteen ja turvallisuuteen liittyvää ominaisuutta.
Zoomin päästä päähän -salauksen käyttäminen
Birminghamin Alabaman yliopiston tietojenkäsittelytieteen professori Nitesh Saxena sanoo, että Zoomin pyrkimykset ottaa käyttöön todellinen päästä päähän -salausjärjestelmä on «askel oikeaan suuntaan», mutta huomauttaa, että työtä on vielä tehtävänä. kauppa on. «On olemassa tärkeitä asioita, jotka on ratkaistava, ennen kuin tämä voi todella tarjota sen tietoturvatason, jota käyttäjät voivat odottaa Zoom-puheluilta», hän sanoo. Saxena, joka on tutkinut Zoomin turvallisuutta laajasti, sanoo, että päästä päähän -salausmenetelmän turvallisuus riippuu viime kädessä osallistujien salausavainten validointiprosessista (tärkeä askel salakuuntelijoiden poissa puhelusta). Tässä tapauksessa käyttäjät tarkistavat tämän itse ennen kokouksen aloittamista. Zoomin päästä päähän -salausprotokollan ensimmäisessä vaiheessa kokouksen isäntä lukee 39-numeroisen koodin, jonka muut voivat tarkistaa näytöltä. «Zoomin tietoturvakäytännöt eivät pitäneet lupauksiaan, ja tämä toimenpide varmistaa, että Zoom-kokoukset ja Zoomin käyttäjien tiedot ovat suojattuja.» Saxenan ja hänen tiiminsä tutkimuksen mukaan tämä lähestymistapa voi olla altis inhimillisille virheille, jos joku ei kiinnitä huomiota ja hyväksyy vahingossa koodin, joka ei täsmää, tai ohittaa prosessin kokonaan. Kokouksen järjestäjien ja osallistujien tulee myös varmistaa, että he ottavat käyttöön päästä päähän -salauksen ennen kokouksen aloittamista, koska se ei ole oletusarvoisesti käytössä. Saxenan tutkimuksessa havaittiin myös, että Zoomin käyttämät numeeriset koodityypit voivat myös olla alttiita tietyntyyppisille hyökkäyksille. Joten Zoomin käyttäjät voivat tuntea helpotusta siitä, että alusta on jo korjannut FTC:n valituksen esiin tuomat keskeiset tietoturva-aukkoja ja tarjoaa nyt päästä päähän -salauksen ensimmäisen vaiheen. Konferenssin osallistujien tulee kuitenkin olla tietoisia siitä, että uuden päästä päähän -salaustilan oikea käyttäminen vaatii erityistä huomiota, kun on aika tarkistaa koodin tarkistusprosessi keskustelun alussa.