מזונות חשובים
- נציבות הסחר הפדרלית של ארה"ב הודיעה ב-9 בנובמבר כי הגיעה להסדר עם Zoom לאחר שטענה שהטעתה משתמשים בנוגע לאבטחה.
- ההסדר מחייב את Zoom להקים "תוכנית אבטחה מקיפה".
- Zoom אומר שהוא כבר טיפל בבעיות, ולאחרונה הודיע שהוא יציג הצפנה מקצה לקצה.
פלטפורמת הוועידות הפופולרית Zoom מגבירה את נוהלי האבטחה שלה כחלק מהסדר עם נציבות הסחר הפדרלית של ארה ב (FTC), בעקבות הטענות של הסוכנות שהטעתה משתמשים לגבי רמת האבטחה שלה.
Zoom הפך לשם דבר תוך מספר חודשים בלבד, כאשר העולם פונה לפלטפורמת ועידת הווידאו שלו בשל המגיפה המגבילה מאוד את הפגישות האישיות. עם זאת, תלונה של FTC טענה ש-Zoom "עסק בשורה של שיטות מטעות ובלתי הוגנות שערערו את אבטחת המשתמשים שלה."
זה בעקבות בדיקה של מומחי אבטחה מוקדם יותר השנה, שמצאו שהפלטפורמה לא משתמשת בהצפנה מקצה לקצה למרות טענות שיווקיות. זום ראתה גם בעיות אבטחה אחרות במהלך העלייה בפופולריות שלה, כמו משתתפים לא רצויים שהרסו פגישות בתרגול שנקרא "הפצצת זום". כחלק מהסדר ה-FTC, זום התחייבה ליישם "תוכנית אבטחה מקיפה".
"במהלך המגיפה, כמעט כולם - משפחות, בתי ספר, קבוצות חברתיות, עסקים - משתמשים בשיחות ועידה בווידאו כדי לתקשר, מה שהופך את האבטחה של הפלטפורמות הללו לקריטית מתמיד", אנדרו סמית', מנהל לשכת הצרכנות של ה-FTC כך אומר פרוטקשן בהודעה לעיתונות של הסוכנות.
"נוהלי האבטחה של זום לא תאמו את ההבטחות שלו, ופעולה זו תעזור לוודא שפגישות זום ונתונים על משתמשי זום מוגנים."
ביקורת ממשלתית
תלונת ה-FTC טוענת ש-Zoom הטעה את המשתמשים שלה בנוגע לכמה בעיות הקשורות לאבטחה, והחשובה שבהן מתייחסת לטענות שהועלו לגבי הצפנה מקצה לקצה.
זה אמר ש-Zoom טוענת להציע הצפנה מקצה לקצה, 256 סיביות עבור שיחות זום מאז 2016, אבל באמת סיפקה רמת אבטחה נמוכה יותר. כאשר הצפנה מקצה לקצה מופעלת, רק למשתתפים בשיחה או בצ'אט יש גישה למידע שהוחלף - לא ל-Zoom, לממשלה או לכל גורם אחר.
בנוסף, התלונה טוענת ש-Zoom שמרה פגישות מוקלטות ולא מוצפנות בשרתים שלה למשך עד 60 יום, כאשר היא אמרה לחלק מהמשתמשים שלה שהם יוצפנו מיד.
בעיה נוספת נוגעת לתוכנת Mac בשם ZoomOpener, שנשארה במחשבי המשתמשים גם בעת מחיקת זום ועלולה הייתה להפוך אותם לפגיעים להאקרים. "תוכנה זו עקפה את הגדרת האבטחה של דפדפן ספארי והעמידה את המשתמשים בסיכון - לדוגמה, היא הייתה יכולה לאפשר לזרים לרגל אחר משתמשים באמצעות מצלמות האינטרנט של המחשב שלהם", מסביר מומחה ה-FTC Consumer Education, Alvaro Puig, בפוסט בבלוג.
תגובת זום
בעוד ש-Zoom סידרה רק לאחרונה את תלונת ה-FTC, החברה אמרה ל-Lifewire באימייל שהיא "כבר טיפלה" בבעיות.
"האבטחה של המשתמשים שלנו היא בראש סדר העדיפויות של Zoom", אמר דובר החברה ל-Lifewire באימייל. זום נקטה במספר צעדים כדי להגיב להאשמות של ה-FTC, כולל השקת תוכנית ל-90 יום באפריל שהניבה יותר מ-100 תכונות הקשורות לפרטיות ואבטחה.
Zoom אכן הציגה הצפנה מקצה לקצה בסוף אוקטובר, שהתאפשרה בזכות רכישתה במאי של חברה בשם Keybase. ההצפנה מקצה לקצה עדיין נמצאת במצב שבו זום מכנה "תצוגה מקדימה טכנית", והחברה אומרת שלשרתים של זום אין גישה למפתחות ההצפנה. לעת עתה, חלק מהתכונות מוגבלות במצב הצפנה מקצה לקצה, כולל היכולת להצטרף לפגישה לפני המארח וחדרי הבריחה.
כיצד להשתמש בהצפנה מקצה לקצה של זום
פרופסור למדעי המחשב באוניברסיטת אלבמה בבירמינגהם, Nitesh Saxena, אומר שהמאמצים של זום ליישם מערכת הצפנה אמיתית מקצה לקצה הם "צעד בכיוון הנכון", אבל מציין שיש עוד עבודה לעשות.
"ישנן בעיות משמעותיות שצריך לטפל בהן לפני שזה באמת יכול לספק את רמת האבטחה שמשתמשים עשויים לדרוש משיחות זום", הוא אומר.
Saxena, שחקרה מקרוב את האבטחה של זום, אומרת שהאבטחה של שיטת ההצפנה מקצה לקצה שלה מסתמכת בסופו של דבר על התהליך המשמש לאימות מפתחות ההצפנה של משתתפי הפגישה (שלב מפתח להרחקת מצותתים מהשיחה).
במקרה זה, משתמשים בודקים זאת בעצמם לפני תחילת הפגישה. בשלב הראשון של זום בפרוטוקול ההצפנה שלה מקצה לקצה, מארח הפגישה קורא קוד בן 39 ספרות שעל האחרים לבדוק על המסך שלהם.
נוהלי האבטחה של Zoom לא תאמו את ההבטחות שלו, ופעולה זו תעזור לוודא שפגישות Zoom והנתונים על משתמשי Zoom מוגנים.
לפי מחקר של Saxena וצוותו, גישה זו עלולה להיות מועדת לטעות אנוש אם מישהו לא שם לב ומקבל בטעות קוד שאינו תואם או מדלג על התהליך לחלוטין.
כמו כן, מארחי הפגישה והמשתתפים חייבים לוודא שהם מאפשרים הצפנה מקצה לקצה לפני תחילת הפגישה, מכיוון שהיא אינה מופעלת כברירת מחדל. המחקר של Saxena גם מצא שסוגי הקודים המספריים שבהם זום משתמש יכולים להיות גם מועדים לסוג מסוים של התקפה.
לכן, משתמשי זום יכולים להרגיש הקלה מסוימת על כך שהפלטפורמה כבר טיפלה בבעיות האבטחה העיקריות שהעלתה תלונת ה-FTC, וכעת היא מציעה את השלב הראשון של הצפנה מקצה לקצה.עם זאת, משתתפי הוועידה צריכים להיות מודעים לכך ששימוש נכון במצב ההצפנה החדש מקצה לקצה מחייב תשומת לב נוספת כאשר הגיע הזמן לתהליך אימות הקוד בתחילת השיחה.
