Skip to content
Internet & Security

Wat de beveiligingsinspanningen van Zoom voor u betekenen

2 de juli de 2021
GettyImages 597273321 7c0859dc03314316b65366bb54650cf1

Belangrijkste leerpunten

  • De Amerikaanse Federal Trade Commission kondigde op 9 november aan dat het een schikking had getroffen met Zoom nadat het had beweerd gebruikers te hebben misleid met betrekking tot beveiliging.
  • De schikking vereist dat Zoom een ​​”uitgebreid beveiligingsprogramma” invoert.
  • Zoom zegt dat het de problemen al heeft aangepakt en heeft onlangs aangekondigd dat het end-to-end-codering zou introduceren.
Het populaire conferentieplatform Zoom versterkt zijn beveiligingspraktijken als onderdeel van een schikking met de Amerikaanse Federal Trade Commission (FTC), naar aanleiding van de beschuldigingen van het agentschap dat het gebruikers heeft misleid over het beveiligingsniveau. Zoom is in slechts een paar maanden tijd een begrip geworden, waarbij de wereld zich wendt tot zijn videoconferentieplatform vanwege de pandemie die persoonlijke vergaderingen ernstig beperkt. Een FTC-klacht beweerde echter dat Zoom “zich bezighield met een reeks bedrieglijke en oneerlijke praktijken die de veiligheid van zijn gebruikers ondermijnden”. Dit volgde op onderzoek door beveiligingsexperts eerder dit jaar, die ontdekten dat het platform ondanks marketingclaims geen end-to-end-encryptie gebruikte. Zoom heeft tijdens zijn populariteit ook andere beveiligingsproblemen gezien, zoals ongewenste deelnemers die vergaderingen laten crashen in een praktijk die ‘zoombombing’ wordt genoemd. Als onderdeel van de FTC-schikking heeft Zoom toegezegd een “uitgebreid beveiligingsprogramma” te implementeren. “Tijdens de pandemie gebruikt praktisch iedereen – gezinnen, scholen, sociale groepen, bedrijven – videoconferenties om te communiceren, waardoor de beveiliging van deze platforms belangrijker dan ooit is”, zegt Andrew Smith, directeur van het Bureau of Consumer Protection van de FTC in het agentschap. persbericht. “De beveiligingspraktijken van Zoom kwamen niet overeen met zijn beloften, en deze actie zal ervoor zorgen dat Zoom-vergaderingen en gegevens over Zoom-gebruikers worden beschermd.”

Overheidstoezicht

De FTC-klacht beweert dat Zoom zijn gebruikers heeft misleid over verschillende beveiligingsgerelateerde problemen, waarvan de belangrijkste betrekking heeft op claims over end-to-end-codering.

Een persoon op een telefonische vergadering op een laptop.

Het zei dat Zoom beweert sinds 2016 end-to-end, 256-bit encryptie voor Zoom-oproepen aan te bieden, maar echt een lager beveiligingsniveau bood. Wanneer end-to-end-codering is ingeschakeld, hebben alleen deelnemers aan een gesprek of chat toegang tot uitgewisselde informatie, niet Zoom, de overheid of een andere partij. Bovendien wordt in de klacht beweerd dat Zoom opgenomen, niet-versleutelde vergaderingen tot 60 dagen op zijn servers heeft opgeslagen toen het enkele van zijn gebruikers had verteld dat ze onmiddellijk zouden worden versleuteld. Een ander probleem heeft te maken met Mac-software genaamd ZoomOpener, die op de computers van gebruikers bleef staan, zelfs bij het verwijderen van Zoom en ze kwetsbaar had kunnen maken voor hackers. “Deze software omzeilde een beveiligingsinstelling van de Safari-browser en bracht gebruikers in gevaar – het had bijvoorbeeld mogelijk gemaakt dat vreemden gebruikers konden bespioneren via de webcamera’s van hun computer”, legt FTC Consumer Education Specialist, Alvaro Puig, uit in een blogpost.

Reactie van Zoom

Terwijl Zoom pas onlangs de FTC-klacht heeft afgehandeld, vertelde het bedrijf aan: reddingsdraad in een e-mail dat het de problemen “al heeft aangepakt”. “De veiligheid van onze gebruikers is een topprioriteit voor Zoom”, zegt een woordvoerder van het bedrijf reddingsdraad in een e-mail. Zoom heeft verschillende stappen ondernomen om te reageren op de beschuldigingen van de FTC, waaronder de lancering van een 90-dagenplan in april dat meer dan 100 functies opleverde met betrekking tot privacy en beveiliging.

Endpoint Security Veilige systeembescherming 3d illustratie

Zoom heeft eind oktober wel end-to-end encryptie geïntroduceerd, mogelijk gemaakt door de overname in mei van een bedrijf genaamd Keybase. De end-to-end encryptie bevindt zich nog steeds in wat Zoom de “technische preview”-modus noemt, en het bedrijf zegt dat de Zoom-servers geen toegang hebben tot de encryptiesleutels. Voorlopig zijn sommige functies beperkt in de end-to-end-coderingsmodus, inclusief de mogelijkheid om deel te nemen aan de vergadering vóór de host en de brainstormruimten.

Hoe de end-to-end-codering van Zoom te gebruiken

Nitesh Saxena, hoogleraar computerwetenschappen aan de Universiteit van Alabama in Birmingham, zegt dat de inspanningen van Zoom om een ​​echt end-to-end encryptiesysteem te implementeren een “stap in de goede richting” is, maar merkt op dat er nog werk aan de winkel is. “Er zijn belangrijke problemen die moeten worden aangepakt voordat dit echt het beveiligingsniveau kan bieden dat gebruikers van Zoom-oproepen kunnen eisen”, zegt hij. Saxena, die de beveiliging van Zoom uitgebreid heeft bestudeerd, zegt dat de beveiliging van de end-to-end encryptiemethode uiteindelijk afhangt van het proces dat wordt gebruikt om de cryptografische sleutels van de deelnemers te valideren (een belangrijke stap om afluisteraars buiten het gesprek te houden). In dit geval controleren gebruikers dit zelf voordat ze aan de vergadering beginnen. In de eerste fase van Zoom’s end-to-end-coderingsprotocol leest de host van de vergadering een 39-cijferige code die de anderen op hun scherm moeten controleren. “De beveiligingspraktijken van Zoom kwamen niet overeen met zijn beloften, en deze actie zal ervoor zorgen dat Zoom-vergaderingen en gegevens over Zoom-gebruikers worden beschermd.” Volgens onderzoek van Saxena en zijn team kan deze aanpak vatbaar zijn voor menselijke fouten als iemand niet oplet en per ongeluk een code accepteert die niet overeenkomt of het proces volledig overslaat. Hosts en deelnemers van vergaderingen moeten er ook voor zorgen dat ze end-to-end-codering inschakelen voordat ze de vergadering starten, aangezien deze niet standaard is ingeschakeld. Uit Saxena’s onderzoek bleek ook dat de soorten numerieke codes die Zoom gebruikt, ook vatbaar kunnen zijn voor een bepaald type aanval. Zoom-gebruikers kunnen dus enige opluchting voelen dat het platform de belangrijkste beveiligingsproblemen die door de FTC-klacht naar voren zijn gebracht al heeft aangepakt en nu de eerste fase van end-to-end-codering biedt. Conferentiedeelnemers moeten zich er echter van bewust zijn dat het correct gebruiken van de nieuwe end-to-end-coderingsmodus extra aandacht vereist wanneer het tijd is voor het codevalidatieproces aan het begin van het gesprek.