Zoom wcale nie szyfrował połączeń metodą end-to-end
Federal Trade Commission, agencja rządowa chroniąca prawa konsumentów w Stanach Zjednoczonych, twierdzi, że Zoom przez lata okłamywał swoich płatnych użytkowników co do szyfrowania połączeń metodą end-to-end. Dokładnie chodzi o to, że od 2016 roku firma rzekomo dostarczała inną wersję szyfrowania, niż end-to-end. Według FTC, pomimo że Zoom obiecywał swoim klientom taką właśnie metodę, to zachowywał klucze kryptograficzne, które pozwoliły firmie na podgląd spotkań swoich użytkowników, sprawiając, że calle były o wiele gorzej zabezpieczone.
Skarga FTC
Federal Trade Commission wskazuje na kilka przypadków, w których Zoom potwierdza dostarczanie szyfrowania metodą end-to-end do swoich płatnych użytkowników — pierwszy raz w czerwcu 2016 roku i w lipcu 2017 w swoim HIPAA compliance guide, który był przeznaczony dla klientów ze służby zdrowia. Zoom obiecywał end-to-end też w styczniu 2019 oraz w wielu pojedynczych odpowiedziach dla indywidualnych klientów.
Co więcej, FTC twierdzi, że firma wprowadzała w błąd tych użytkowników, którzy chcieli umieszczać nagrania ze spotkań w chmurze Zooma — firma twierdziła, że zostaną one zaszyfrowane zaraz po ich zakończeniu. Zamiast tego, nagrania były przechowywane w niezaszyfrowanej formie na serwerach Zooma przez nawet 60 dni — dopiero potem trafiały jako nagrania zaszyfrowane na chmurę.
Skarga od Federal Trade Commission dotyka jeszcze serwera webowego ZoomOpener, który obchodził protokoły bezpieczeństwa Apple’a na komputerach Mac. FTC twierdzi, że Zoom zainstalował swoje oprogramowanie na komputerach Apple'a jako część aktualizacji ich programu — czyli w sumie za plecami użytkowników. Co więcej, ZoomOpener pozostawał na komputerach, nawet po usunięciu samego narzędzia do wideokonferencji, i mógł nawet pozwolić zewnętrznym użytkownikom na przejęcie kamerki w Macach.
W 2019 firma zgodziła się na całkowite usunięcie problematycznego serwera webowego z komputerów Apple'a.
Pomimo że skarga FTC nie wymaga od Zooma wypłacenia odszkodowań swoim klientom, to firma mierzy się jeszcze z pozwami sądowymi od inwestorów i niektórych użytkowników, co może w końcu doprowadzić wypłacenia przez nią pewnych kwot pieniężnych.
Co na to Zoom?
Federal Trade Commission ogłosiło, że Zoom zgodził się na przyjęcie następujących warunków:
- Co rok oceniać i dokumentować wszelkie potencjalne wewnętrzne i zewnętrzne zagrożenia bezpieczeństwa i opracowywać sposoby na zabezpieczenie się przed nimi
- Wdrożyć program zarządzania lukami w zabezpieczeniach
- Wdrażać takie zabezpieczenia jak uwierzytelnianie wieloskładnikowe, aby chronić się przed nieautoryzowanym dostępem do sieci
- Ustanowić kontrolę usuwania danych i podjąć kroki, w celu zapobiegania użyciu ujawnionych danych jakiegoś użytkownika.
Sam Zoom odpowiada na skargę w następujący sposób: twierdzą oni, że bezpieczeństwo użytkowników jest dla nich całkowitym priorytetem i cały czas starają się ulepszać zabezpieczenia swojej platformy. Niemniej jednak Zoom będzie musiał wznowić wszystkie aktualizacje oprogramowania, które naprawiały luki w zabezpieczeniach.
Co więcej, aktualizacje Zooma nie mogą blokować zewnętrznych usprawnień dotyczących bezpieczeństwa. Firma musi też przystać na ocenę swoich programów dla poprawy bezpieczeństwa, która ma być przeprowadzona przez zewnętrzną organizację raz na dwa lata — wymaganie to będzie w mocy przez 20 lat od momentu, w którym porozumienie między FTC a Zoomem zostanie zawarte.
Podsumowanie
Wokół Zooma już od dłuższego czasu jest sporo zgiełku. Mieliśmy problem z tym że program działający na iOS wysyła Facebookowi dane użytkowników za ich plecami, a potem zaczęło wychodzić coraz więcej luk w ogólnych zabezpieczeniach Zooma. Jakiś czas temu firma wprowadziła szyfrowanie end-to-end dla wszystkich, a nie tylko dla płatnych klientów — problem tylko w tym, że Zoom twierdził, że miał end-to-end, a prawda była inna. Przez te wszystkie niedopatrzenia Zoom ma teraz przechlapane, bo ciągle ktoś mu się przygląda.