Негізгі ұсыныстар
- АҚШ Федералды сауда комиссиясы 9 қарашада Zoom-пен пайдаланушыларды қауіпсіздікке қатысты жаңылыстырды деген айыппен келісімге келгенін хабарлады.
- Есеп айырысу Zoom қолданбасын "кешенді қауіпсіздік бағдарламасын" енгізуді талап етеді.
- Zoom бұл мәселелерді шешіп қойғанын және жақында шифрлауды енгізетінін хабарлады.
Танымал Zoom конференц-платформасы агенттіктің пайдаланушыларды қауіпсіздік деңгейі туралы жаңылыстыруы туралы мәлімдемесінен кейін АҚШ Федералдық Сауда Комиссиясымен (FTC) келісімнің бөлігі ретінде қауіпсіздік тәжірибесін күшейтуде.
Zoom бірнеше айдың ішінде танымал атаққа айналды, әлем жеке кездесулерді қатты шектейтін пандемияға байланысты бейнеконференция платформасына бет бұрды. Дегенмен, FTC шағымында Zoom "пайдаланушылардың қауіпсіздігіне нұқсан келтіретін бірқатар алдамшы және әділетсіз әрекеттерге барды" деп айыпталған..
Бұл осы жылдың басында қауіпсіздік сарапшыларының тексеруінен кейін болды, олар платформа маркетингтік шағымдарға қарамастан түпкілікті шифрлауды пайдаланбағанын анықтады. Масштабтау танымалдылығының артуы кезінде басқа да қауіпсіздік мәселелерін көрді, мысалы, жағымсыз қатысушылар «масштабтау» деп аталатын тәжірибеде жиналыстарды бұзды. FTC келісімінің бір бөлігі ретінде Zoom "кешенді қауіпсіздік бағдарламасын" жүзеге асыруға міндеттеме алды.
"Пандемия кезінде іс жүзінде барлығы - отбасылар, мектептер, әлеуметтік топтар, кәсіпорындар - байланыс үшін бейнеконференцбайланысты пайдаланады, бұл осы платформалардың қауіпсіздігін бұрынғыдан да маңызды етеді ", - Эндрю Смит, FTC тұтынушылар бюросының директоры. Қорғаныс агенттігінің баспасөз хабарламасында айтылған.
"Zoom қауіпсіздік тәжірибелері оның уәделеріне сәйкес келмеді және бұл әрекет Zoom жиналыстары мен Zoom пайдаланушылары туралы деректердің қорғалғанына көз жеткізуге көмектеседі."
Үкіметтік тексеру
FTC шағымында Zoom пайдаланушыларды қауіпсіздікке қатысты бірнеше мәселелер бойынша жаңылыстырғаны айтылады, олардың ең маңыздысы шифрлау туралы айтылған шағымдарға қатысты.
Айтуынша, Zoom 2016 жылдан бері Zoom қоңыраулары үшін 256 биттік шифрлауды ұсынып келеді, бірақ шын мәнінде қауіпсіздіктің төменгі деңгейін қамтамасыз етті. Үздіксіз шифрлау қосылғанда Zoom, үкімет немесе кез келген басқа тарап емес, тек қоңырау немесе чат қатысушылары алмасатын ақпаратқа қол жеткізе алады.
Сонымен қатар, шағымда Zoom жазылған, шифрланбаған кездесулерді серверлерінде 60 күнге дейін сақтағаны және кейбір пайдаланушыларына олар дереу шифрланатынын айтқан кезде айтылған.
Тағы бір мәселе ZoomOpener деп аталатын Mac бағдарламалық құралына қатысты, ол тіпті Zoom жойылған кезде де пайдаланушылардың компьютерлерінде қалады және оларды хакерлерге осал етуі мүмкін. "Бұл бағдарламалық құрал Safari браузерінің қауіпсіздік параметрін айналып өтіп, пайдаланушыларға қауіп төндірді, мысалы, ол бейтаныс адамдарға компьютерлерінің веб-камералары арқылы пайдаланушыларға тыңшылық жасауға мүмкіндік беруі мүмкін", - деп түсіндіреді FTC тұтынушыларды оқыту жөніндегі маманы Альваро Пуиг блог жазбасында.
Масштабтау жауабы
Zoom FTC шағымын жуырда ғана шешкенімен, компания Lifewire-ке электрондық пошта арқылы мәселелерді "қазірдің өзінде шешкенін" айтты.
«Біздің пайдаланушыларымыздың қауіпсіздігі Zoom үшін басты басымдық болып табылады», - деді компания өкілі Lifewire-ге электрондық хатта. Zoom FTC айыптауларына жауап беру үшін бірнеше қадамдар жасады, соның ішінде сәуір айында құпиялылық пен қауіпсіздікке қатысты 100-ден астам мүмкіндікті беретін 90 күндік жоспарды іске қосу.
Zoom мамыр айының соңында Keybase деп аталатын компанияны сатып алуының арқасында мүмкін болатын шифрлауды қазан айының соңында енгізді. Үздік шифрлау әлі де Zoom «техникалық алдын ала қарау» деп атайтын режимде және компания Zoom серверлерінің шифрлау кілттеріне қол жеткізе алмайтынын айтады. Әзірге кейбір мүмкіндіктер шифрлау режимінде шектелген, соның ішінде жиналысқа хост және кездесу бөлмелері алдында қосылу мүмкіндігі.
Масштабтың аяғына дейін шифрлауын қалай пайдалану керек
Бирмингемдегі Алабама университетінің информатика профессоры Нитеш Саксена Zoom компаниясының шын шифрлау жүйесін енгізудегі талпыныстары «дұрыс бағыттағы қадам» екенін айтады, бірақ әлі де атқарылатын жұмыс бар екенін айтады.
"Бұл пайдаланушылар Zoom қоңырауларынан талап ете алатын қауіпсіздік деңгейін қамтамасыз етпес бұрын шешуді қажет ететін маңызды мәселелер бар", - дейді ол.
Zoom қауіпсіздігін жан-жақты зерттеген Saxena оның шифрлау әдісінің қауіпсіздігі, сайып келгенде, жиналысқа қатысушылардың криптографиялық кілттерін тексеру үшін қолданылатын процеске байланысты екенін айтады (тыңдаушыларды қоңыраудан аулақ ұстаудың маңызды қадамы).).
Бұл жағдайда пайдаланушылар жиналысты бастамас бұрын мұны өздері тексереді. Zoom қолданбасының шифрлау протоколының бірінші кезеңінде жиналыс иесі 39 саннан тұратын кодты оқиды, оны басқалар экранда тексеруі керек.
Zoom қауіпсіздік тәжірибелері оның уәделеріне сәйкес келмеді және бұл әрекет Zoom жиналыстары мен Zoom пайдаланушылары туралы деректердің қорғалғанына көз жеткізуге көмектеседі.
Саксена мен оның командасының зерттеулеріне сәйкес, егер біреу назар аудармаса және кездейсоқ сәйкес келмейтін кодты қабылдаса немесе процесті толығымен өткізіп жіберсе, бұл әдіс адам қателігіне бейім болуы мүмкін.
Сонымен қатар, жиналыс иелері мен қатысушылар жиналысты бастамас бұрын, олар әдепкі бойынша қосылмағандықтан, олар соңына дейін шифрлауды қосқанына көз жеткізуі керек. Saxena зерттеуі Zoom қолданатын сандық код түрлері де шабуылдың белгілі бір түріне бейім болуы мүмкін екенін анықтады.
Осылайша, Zoom пайдаланушылары платформаның FTC шағымы көтерген негізгі қауіпсіздік мәселелерін шешіп қойғанын және енді шифрлаудың бірінші кезеңін ұсынып отырғанын біршама жеңілдете алады. Дегенмен, конференцияға қатысушылар жаңа шифрлау режимін дұрыс пайдалану қоңыраудың басында кодты тексеру процесіне уақыт келгенде қосымша назар аударуды қажет ететінін білуі керек.
