Zoom podmiruje troškove FTC-a za obmanjivanje korisnika o sigurnosnim značajkama

Proizvođač softvera za videokonferencije Zoom danas je postigao dogovor s Federalnom trgovinskom komisijom SAD-a kako bi riješio optužbe da je doveo korisnike u zabludu o nekim svojim sigurnosnim značajkama.

FTC je rekao da je ranije ove godine, tijekom vrhunca COVID 19 pandemije, Zoom je privukao korisnike na svoju platformu pogrešnim tvrdnjama koje njegov proizvod podržava "end-to-end, 256-bitna enkripcija" i da će njegova usluga pohranjivati ​​snimljene pozive u šifriranom format.

Međutim, u pritužbi [PDF] podnesen ranije ove godine, istražitelji FTC-a otkrili su da su Zoomove tvrdnje varljive.

Prvo, FTC je otkrio da unatoč tome što tvrdi da podržava end-to-end encrypted (E2EE) pozive, Zoom ne podržava E2EE pozive u klasičnom značenju te riječi.

E2EE pozivi se oslanjaju na uspostavljanje poziva između dva korisnika i spremanje kriptografskog ključa koji se koristi za šifriranje poziva na uređajima ta dva korisnika.

No FTC kaže da je Zoom također zadržao kopiju ključa za sebe, što mu je omogućilo presretanje komunikacije za sve svoje korisnike.

Drugo, FTC je također otkrio da neki Zoom također nije šifrirao snimljene pozive, kao što je tvrdio. Umjesto toga, snimljeni pozivi držani su nekriptirani na Zoomovim poslužiteljima do 60 dana prije nego što su šifriran i prebačen na sigurni poslužitelj, tijekom kojeg su Zoom i druge strane mogle pristupiti njihov sadržaj.

"Zoomove obmanjujuće tvrdnje dale su korisnicima lažan osjećaj sigurnosti, [...] posebno za one koji su koristili platforma tvrtke za raspravu o osjetljivim temama kao što su zdravstvene i financijske informacije", rekao je FTC u a priopćenje za javnost danas.

"U brojnim postovima na blogu, Zoom je posebno reklamirao svoju razinu enkripcije kao razlog za korisnike i potencijalne kupce da koriste Zoomove videokonferencijske usluge", dodala je agencija.

Osim toga, FTC je rekao da je također otkrio da je Zoom napravio pogrešku u dizajnu svog softvera 2019., čak i prije pandemije, kada je tiho instalirao web poslužitelj na računala korisnika macOS-a.

Ovaj web poslužitelj, koji nije otkriven u službenom dnevniku promjena Zoom Mac klijenta, djelovao je kao proxy između Safari i aplikacija Zoom kako bi se korisnicima Safarija omogućilo otvaranje aplikacije Zoom bez pokretanja sigurnosnog upozorenja na OS.

Kako se tada tvrdilo, iako je poslužitelj bio bezopasan, nije bila sigurna dizajnerska odluka i mogle su ga zloupotrijebiti aplikacije trećih strana ili napadači kako bi ugrozili macOS sustave.

Zoom obećava da će biti bolji

Većina problema oko kojih se Zoom danas dogovorio već je riješena ili implementirana u sklopu tromjesečnog maratona, tijekom kojeg je vodstvo Zooma usmjerena na poboljšanje sigurnosne pozicije tvrtke., koji također uključuje zapošljavanje glavnog službenika za informacijsku sigurnost (CISO).

"Ponosni smo na napredak koji smo napravili na našoj platformi i već smo se pozabavili problemima koje je identificirao FTC", rekao je glasnogovornik Zooma ZDNet. "Današnja rezolucija s FTC-om u skladu je s našom predanošću inovacijama i poboljšanju našeg proizvoda dok pružamo iskustvo sigurne video komunikacije."

Unatoč tome, kao dio nagodbe s FTC-om, Zoom je također obećao sljedeće:

• procijeniti i dokumentirati na godišnjoj osnovi sve potencijalne unutarnje i vanjske sigurnosne rizike i razviti načine za zaštitu od takvih rizika;
• implementirati program upravljanja ranjivostima;
• implementirati zaštitne mjere kao što je višefaktorska autentifikacija za zaštitu od neovlaštenog pristupa svojoj mreži; uspostaviti kontrolu brisanja podataka; i poduzeti korake za sprječavanje korištenja poznatih kompromitiranih korisničkih vjerodajnica;
• pregledati sva ažuriranja softvera radi sigurnosnih nedostataka i mora osigurati da ažuriranja neće ometati sigurnosne značajke trećih strana;
• ne lažno predstavljati prakse privatnosti i sigurnosti.

Naselje [PDF] nije uključivao kaznu.