Belangrijkste afhaalrestaurants
- De Amerikaanse Federal Trade Commission kondigde op 9 november aan dat het een schikking had getroffen met Zoom nadat het had beweerd gebruikers te hebben misleid met betrekking tot beveiliging.
- De schikking vereist dat Zoom een "uitgebreid beveiligingsprogramma" invoert.
- Zoom zegt dat het de problemen al heeft aangepakt en heeft onlangs aangekondigd dat het end-to-end encryptie zou introduceren.
Het populaire conferentieplatform Zoom versterkt zijn beveiligingspraktijken als onderdeel van een schikking met de Amerikaanse Federal Trade Commission (FTC), naar aanleiding van de beschuldigingen van het bureau dat het gebruikers heeft misleid over het beveiligingsniveau.
Zoom is in slechts een paar maanden tijd een begrip geworden, waarbij de wereld zich wendt tot zijn videoconferentieplatform vanwege de pandemie die persoonlijke vergaderingen ernstig beperkt. Een FTC-klacht beweerde echter dat Zoom "zich bezighield met een reeks bedrieglijke en oneerlijke praktijken die de veiligheid van zijn gebruikers ondermijnden".
Dit volgde op onderzoek door beveiligingsexperts eerder dit jaar, die ontdekten dat het platform ondanks marketingclaims geen end-to-end-encryptie gebruikte. Zoom heeft tijdens zijn populariteit ook andere beveiligingsproblemen gezien, zoals ongewenste deelnemers die vergaderingen laten crashen in een praktijk die 'zoombombing' wordt genoemd. Als onderdeel van de FTC-schikking heeft Zoom toegezegd een "uitgebreid beveiligingsprogramma" te implementeren.
"Tijdens de pandemie gebruikt vrijwel iedereen - gezinnen, scholen, sociale groepen, bedrijven - videoconferenties om te communiceren, waardoor de beveiliging van deze platforms belangrijker dan ooit is", Andrew Smith, directeur van het Bureau of Consumer van de FTC Protection zegt in het persbericht van het bureau.
"Zoom's beveiligingspraktijken kwamen niet overeen met zijn beloften, en deze actie zal helpen ervoor te zorgen dat Zoom-vergaderingen en gegevens over Zoom-gebruikers worden beschermd."
Regeringscontrole
De FTC-klacht beweert dat Zoom zijn gebruikers heeft misleid over verschillende beveiligingsgerelateerde problemen, waarvan de belangrijkste betrekking heeft op beweringen over end-to-end-codering.
Er staat dat Zoom beweert sinds 2016 end-to-end, 256-bit encryptie voor Zoom-gesprekken aan te bieden, maar in werkelijkheid een lager beveiligingsniveau bood. Wanneer end-to-end-codering is ingeschakeld, hebben alleen deelnemers aan een gesprek of chat toegang tot uitgewisselde informatie, niet Zoom, de overheid of een andere partij.
Bovendien beweert de klacht dat Zoom opgenomen, niet-versleutelde vergaderingen tot 60 dagen op zijn servers heeft opgeslagen toen het enkele van zijn gebruikers had verteld dat ze onmiddellijk zouden worden versleuteld.
Een ander probleem heeft betrekking op Mac-software genaamd ZoomOpener, die op de computers van gebruikers bleef staan, zelfs bij het verwijderen van Zoom en ze kwetsbaar had kunnen maken voor hackers. "Deze software omzeilde een beveiligingsinstelling van de Safari-browser en bracht gebruikers in gevaar - het had bijvoorbeeld vreemden kunnen toestaan om gebruikers te bespioneren via de webcamera's van hun computer", legt FTC Consumer Education Specialist, Alvaro Puig, uit in een blogpost.
Zoom's reactie
Hoewel Zoom pas onlangs de FTC-klacht heeft afgehandeld, vertelde het bedrijf Lifewire in een e-mail dat het de problemen "al heeft aangepakt".
"De veiligheid van onze gebruikers is een topprioriteit voor Zoom", vertelde een woordvoerder van het bedrijf in een e-mail aan Lifewire. Zoom heeft verschillende stappen ondernomen om te reageren op de beschuldigingen van de FTC, waaronder de lancering van een 90-dagenplan in april dat meer dan 100 functies opleverde met betrekking tot privacy en beveiliging.
Zoom introduceerde eind oktober end-to-end encryptie, mogelijk gemaakt door de overname in mei van een bedrijf genaamd Keybase. De end-to-end-codering bevindt zich nog steeds in wat Zoom de "technische preview" -modus noemt, en het bedrijf zegt dat de servers van Zoom geen toegang hebben tot de coderingssleutels. Voorlopig zijn sommige functies beperkt in de end-to-end-coderingsmodus, inclusief de mogelijkheid om deel te nemen aan de vergadering vóór de host en brainstormruimten.
Hoe de end-to-end-codering van Zoom te gebruiken
University of Alabama in Birmingham, hoogleraar computerwetenschappen Nitesh Saxena, zegt dat de inspanningen van Zoom om een echt end-to-end encryptiesysteem te implementeren een "stap in de goede richting" is, maar merkt op dat er nog werk aan de winkel is.
"Er zijn belangrijke problemen die moeten worden aangepakt voordat dit echt het beveiligingsniveau kan bieden dat gebruikers van Zoom-oproepen kunnen eisen", zegt hij.
Saxena, die de beveiliging van Zoom uitgebreid heeft bestudeerd, zegt dat de beveiliging van de end-to-end-coderingsmethode uiteindelijk afhankelijk is van het proces dat wordt gebruikt om de cryptografische sleutels van de deelnemers te valideren (een belangrijke stap om afluisteraars buiten het gesprek te houden).
In dit geval controleren gebruikers dit zelf voordat ze de vergadering starten. In Zoom's eerste fase van zijn end-to-end-coderingsprotocol leest de host van de vergadering een 39-cijferige code die de anderen op hun scherm moeten controleren.
Zoom's beveiligingspraktijken kwamen niet overeen met de beloften, en deze actie zal helpen ervoor te zorgen dat Zoom-vergaderingen en gegevens over Zoom-gebruikers worden beschermd.
Volgens onderzoek van Saxena en zijn team kan deze aanpak vatbaar zijn voor menselijke fouten als iemand niet oplet en per ongeluk een code accepteert die niet overeenkomt of het proces volledig overslaat.
Gastheren en deelnemers van vergaderingen moeten ervoor zorgen dat ze end-to-end-codering inschakelen voordat ze de vergadering starten, aangezien deze niet standaard is ingeschakeld. Uit Saxena's onderzoek bleek ook dat de soorten numerieke codes die Zoom gebruikt, ook vatbaar kunnen zijn voor een bepaald type aanval.
Dus, Zoom-gebruikers kunnen enige opluchting voelen dat het platform de belangrijkste beveiligingsproblemen die door de FTC-klacht naar voren zijn gebracht al heeft aangepakt en nu de eerste fase van end-to-end-codering biedt. Conferentiedeelnemers moeten zich er echter van bewust zijn dat het correct gebruiken van de nieuwe end-to-end-coderingsmodus extra aandacht vereist wanneer het tijd is voor het codevalidatieproces aan het begin van het gesprek.
