Mga Key Takeaway
- Inianunsyo ng U. S. Federal Trade Commission noong Nob. 9 na umabot na ito sa isang kasunduan sa Zoom matapos iparatang na nilinlang nito ang mga user hinggil sa seguridad.
- Ang kasunduan ay nangangailangan ng Zoom na maglagay ng "komprehensibong programa sa seguridad" sa lugar.
- Sinasabi ng Zoom na natugunan na nito ang mga isyu, at kamakailan ay inanunsyo nito na magpapakilala ito ng end-to-end na pag-encrypt.
Pinapalakas ng sikat na platform ng kumperensyang Zoom ang mga kagawian sa seguridad nito bilang bahagi ng isang kasunduan sa U. S. Federal Trade Commission (FTC), kasunod ng mga paratang ng ahensya na nilinlang nito ang mga user tungkol sa antas ng seguridad nito.
Ang Zoom ay naging isang pampamilyang pangalan sa loob lamang ng ilang buwan, na ang mundo ay bumaling sa kanyang video conferencing platform dahil sa pandemya na lubhang naglilimita sa mga personal na pagpupulong. Gayunpaman, ang isang reklamo ng FTC ay nagpahayag na ang Zoom ay "nakipag-ugnayan sa isang serye ng mga mapanlinlang at hindi patas na kasanayan na nagpapahina sa seguridad ng mga gumagamit nito."
Ito ay sinundan ng pagsisiyasat mula sa mga eksperto sa seguridad noong unang bahagi ng taong ito, na natagpuan na ang platform ay hindi gumagamit ng end-to-end na pag-encrypt sa kabila ng mga claim sa marketing. Nakita rin ng Zoom ang iba pang mga isyu sa seguridad sa panahon ng pagsikat nito, tulad ng mga hindi gustong kalahok na nag-crash ng mga pagpupulong sa isang pagsasanay na tinatawag na "zoombombing." Bilang bahagi ng FTC settlement, ang Zoom ay nakatuon sa pagpapatupad ng isang "komprehensibong programa sa seguridad."
"Sa panahon ng pandemya, halos lahat-pamilya, paaralan, social group, negosyo-ay gumagamit ng videoconferencing para makipag-ugnayan, na ginagawang mas kritikal ang seguridad ng mga platform na ito kaysa dati," Andrew Smith, direktor ng Bureau of Consumer ng FTC Sabi ng proteksyon sa press release ng ahensya.
"Ang mga kagawian sa seguridad ng Zoom ay hindi naaayon sa mga pangako nito, at makakatulong ang pagkilos na ito upang matiyak na ang mga Zoom meeting at data tungkol sa mga user ng Zoom ay protektado."
Pagsusuri ng Pamahalaan
Isinasaad ng reklamo ng FTC na nilinlang ng Zoom ang mga user nito tungkol sa ilang isyu na nauugnay sa seguridad, ang pinakamahalaga sa mga ito ay nauugnay sa mga paghahabol na ginawa tungkol sa end-to-end na pag-encrypt.
Sinabi na ang Zoom ay nag-claim na nag-aalok ng end-to-end, 256-bit na pag-encrypt para sa mga tawag sa Zoom mula noong 2016, ngunit talagang nagbigay ng mas mababang antas ng seguridad. Kapag naka-enable ang end-to-end na pag-encrypt, tanging ang mga kalahok sa isang tawag o chat ang may access sa impormasyong ipinagpapalit-hindi ang Zoom, ang gobyerno o anumang iba pang partido.
Dagdag pa rito, ang reklamo ay nagsasaad na ang Zoom ay nag-imbak ng mga naitala at hindi naka-encrypt na pagpupulong sa mga server nito nang hanggang 60 araw nang sabihin nito sa ilan sa mga user nito na agad silang mai-encrypt.
Ang isa pang isyu ay nauugnay sa Mac software na tinatawag na ZoomOpener, na nanatili sa mga computer ng mga user kahit na tinatanggal ang Zoom at maaaring naging bulnerable sila sa mga hacker. "Na-bypass ng software na ito ang isang setting ng seguridad ng Safari browser at inilagay sa peligro ang mga user-halimbawa, maaaring pinayagan nito ang mga estranghero na tiktikan ang mga user sa pamamagitan ng mga web camera ng kanilang computer," paliwanag ng FTC Consumer Education Specialist, Alvaro Puig, sa isang blog post.
Tugon ng Zoom
Bagama't kamakailan lamang ay inayos ng Zoom ang reklamo sa FTC, sinabi ng kumpanya sa Lifewire sa isang email na "natugunan na" nito ang mga isyu.
"Ang seguridad ng aming mga user ay isang pangunahing priyoridad para sa Zoom," sinabi ng isang tagapagsalita ng kumpanya sa Lifewire sa isang email. Gumawa ng ilang hakbang ang Zoom upang tumugon sa mga paratang ng FTC, kabilang ang paglulunsad ng 90-araw na plano noong Abril na nagbunga ng higit sa 100 feature na nauugnay sa privacy at seguridad.
Ipinakilala ng Zoom ang end-to-end na pag-encrypt noong huling bahagi ng Oktubre, na naging posible sa pamamagitan ng pagkuha nito noong Mayo ng isang kumpanyang tinatawag na Keybase. Ang end-to-end encryption ay nasa tinatawag pa ring Zoom na "technical preview" na mode, at sinabi ng kumpanya na ang mga server ng Zoom ay walang access sa mga encryption key. Sa ngayon, pinaghihigpitan ang ilang feature sa end-to-end encryption mode, kabilang ang kakayahang sumali sa meeting bago ang host at mga breakout room.
Paano Gamitin ang End-to-End Encryption ng Zoom
University of Alabama sa Birmingham na propesor ng computer science na si Nitesh Saxena ay nagsabi na ang mga pagsisikap ng Zoom na ipatupad ang isang tunay na end-to-end na sistema ng pag-encrypt ay isang "hakbang sa tamang direksyon, " ngunit tandaan na mayroon pa ring kailangang gawin.
"May mga mahahalagang isyu na kailangang tugunan bago ito makapagbigay ng antas ng seguridad na maaaring hilingin ng mga user mula sa mga tawag sa Zoom, " sabi niya.
Sinabi ni Saxena, na nag-aral nang husto sa seguridad ng Zoom, na ang seguridad ng end-to-end na paraan ng pag-encrypt nito ay umaasa sa prosesong ginagamit para ma-validate ang mga kriptograpikong key ng mga kalahok (isang mahalagang hakbang para maiwasan ang mga eavesdropper sa tawag).
Sa kasong ito, sinusuri ito ng mga user mismo bago simulan ang pulong. Sa unang yugto ng Zoom ng end-to-end na encryption protocol nito, nagbabasa ang host ng pulong ng 39-digit na code na dapat tingnan ng iba sa kanilang screen.
Ang mga kagawian sa seguridad ng Zoom ay hindi naaayon sa mga pangako nito, at makakatulong ang pagkilos na ito upang matiyak na ang mga Zoom meeting at data tungkol sa mga user ng Zoom ay protektado.
Ayon sa pagsasaliksik ni Saxena at ng kanyang team, ang diskarteng ito ay maaaring maging prone sa human error kung hindi binibigyang pansin ng isang tao at hindi sinasadyang tumanggap ng code na hindi tumutugma o ganap na nilalaktawan ang proseso.
Gayundin, dapat tiyakin ng mga host at kalahok ng pulong na pinagana nila ang end-to-end na pag-encrypt bago simulan ang pulong, dahil hindi ito naka-on bilang default. Natuklasan din ng pananaliksik ni Saxena na ang mga uri ng mga numerong code na ginagamit ng Zoom ay maaari ding maging prone sa isang partikular na uri ng pag-atake.
Kaya, ang mga user ng Zoom ay maaaring makaramdam ng kaunting ginhawa na natugunan na ng platform ang mga pangunahing isyu sa seguridad na ibinangon ng reklamo ng FTC, at ngayon ay nag-aalok ng unang yugto ng end-to-end na pag-encrypt. Gayunpaman, dapat malaman ng mga kalahok sa kumperensya na ang paggamit ng bagong end-to-end na mode ng pag-encrypt nang tama ay nangangailangan ng karagdagang pansin kapag oras na para sa proseso ng pagpapatunay ng code sa simula ng tawag.
