Da asporto chiave
- La Federal Trade Commission degli Stati Uniti ha annunciato il 9 novembre di aver raggiunto un accordo con Zoom dopo aver affermato di aver fuorviato gli utenti in merito alla sicurezza.
- L'accordo richiede a Zoom di mettere in atto un "programma di sicurezza completo".
- Zoom afferma di aver già affrontato i problemi e di recente ha annunciato che avrebbe introdotto la crittografia end-to-end.
La popolare piattaforma per conferenze Zoom sta rafforzando le sue pratiche di sicurezza come parte di un accordo con la Federal Trade Commission (FTC) degli Stati Uniti, a seguito delle accuse dell'agenzia di aver fuorviato gli utenti sul suo livello di sicurezza.
Zoom è diventato un nome familiare nel giro di pochi mesi, con il mondo che si è rivolto alla sua piattaforma di videoconferenza a causa della pandemia che limita gravemente gli incontri di persona. Tuttavia, un reclamo FTC ha affermato che Zoom "si è impegnato in una serie di pratiche ingannevoli e sleali che hanno minato la sicurezza dei suoi utenti".
Ciò è seguito al controllo degli esperti di sicurezza all'inizio di quest'anno, che hanno scoperto che la piattaforma non utilizzava la crittografia end-to-end nonostante le affermazioni di marketing. Zoom ha anche riscontrato altri problemi di sicurezza durante il suo aumento di popolarità, come partecipanti indesiderati che si sono bloccati nelle riunioni in una pratica chiamata "zoombombing". Come parte dell'accordo FTC, Zoom si è impegnata a implementare un "programma di sicurezza completo".
"Durante la pandemia, praticamente tutti, famiglie, scuole, gruppi sociali, aziende, utilizzano la videoconferenza per comunicare, rendendo la sicurezza di queste piattaforme più critica che mai", Andrew Smith, direttore del Bureau of Consumer della FTC Lo dice Protection nel comunicato stampa dell'agenzia.
"Le pratiche di sicurezza di Zoom non sono state all' altezza delle sue promesse e questa azione contribuirà a garantire che le riunioni Zoom e i dati sugli utenti Zoom siano protetti."
Scrutinio del governo
Il reclamo FTC sostiene che Zoom ha fuorviato i suoi utenti su diversi problemi relativi alla sicurezza, il più importante dei quali riguarda le affermazioni fatte sulla crittografia end-to-end.
Diceva che Zoom ha affermato di offrire una crittografia end-to-end a 256 bit per le chiamate Zoom dal 2016, ma in re altà ha fornito un livello di sicurezza inferiore. Quando la crittografia end-to-end è abilitata, solo i partecipanti a una chiamata o una chat hanno accesso alle informazioni scambiate, non Zoom, il governo o qualsiasi altra parte.
Inoltre, il reclamo sostiene che Zoom abbia archiviato riunioni registrate e non crittografate sui suoi server per un massimo di 60 giorni dopo aver detto ad alcuni dei suoi utenti che sarebbero state immediatamente crittografate.
Un altro problema riguarda il software Mac chiamato ZoomOpener, che è rimasto sui computer degli utenti anche durante l'eliminazione di Zoom e potrebbe averli resi vulnerabili agli hacker. "Questo software ha aggirato un'impostazione di sicurezza del browser Safari e ha messo gli utenti a rischio, ad esempio, avrebbe potuto consentire a estranei di spiare gli utenti attraverso le webcam dei loro computer", spiega Alvaro Puig, specialista in educazione dei consumatori di FTC, in un post sul blog.
Risposta di Zoom
Mentre Zoom ha risolto solo di recente il reclamo FTC, la società ha detto a Lifewire in un'e-mail di aver "già affrontato" i problemi.
"La sicurezza dei nostri utenti è una priorità assoluta per Zoom", ha detto un portavoce dell'azienda a Lifewire in un'e-mail. Zoom ha adottato diverse misure per rispondere alle accuse della FTC, incluso il lancio di un piano di 90 giorni ad aprile che ha prodotto più di 100 funzionalità relative alla privacy e alla sicurezza.
Zoom ha introdotto la crittografia end-to-end a fine ottobre, resa possibile dall'acquisizione a maggio di una società chiamata Keybase. La crittografia end-to-end è ancora in quella che Zoom chiama modalità "anteprima tecnica" e la società afferma che i server di Zoom non hanno accesso alle chiavi di crittografia. Per ora, alcune funzionalità sono limitate nella modalità di crittografia end-to-end, inclusa la possibilità di partecipare alla riunione prima dell'organizzatore e delle sale riunioni.
Come utilizzare la crittografia end-to-end di Zoom
Il professore di informatica Nitesh Saxena dell'Università dell'Alabama di Birmingham afferma che gli sforzi di Zoom per implementare un vero sistema di crittografia end-to-end sono un "passo nella giusta direzione", ma osserva che c'è ancora del lavoro da fare.
"Ci sono problemi significativi che devono essere affrontati prima che questo possa davvero fornire il livello di sicurezza che gli utenti potrebbero richiedere dalle chiamate Zoom", dice.
Saxena, che ha studiato a fondo la sicurezza di Zoom, afferma che la sicurezza del suo metodo di crittografia end-to-end si basa in definitiva sul processo utilizzato per convalidare le chiavi crittografiche dei partecipanti alla riunione (un passaggio chiave per tenere gli intercettatori fuori dalla chiamata).
In questo caso, gli utenti lo controllano da soli prima di iniziare la riunione. Nella prima fase di Zoom del suo protocollo di crittografia end-to-end, l'organizzatore della riunione legge un codice di 39 cifre che gli altri devono controllare sul proprio schermo.
Le pratiche di sicurezza di Zoom non sono state all' altezza delle sue promesse e questa azione aiuterà a garantire che le riunioni Zoom e i dati sugli utenti Zoom siano protetti.
Secondo la ricerca di Saxena e del suo team, questo approccio potrebbe essere soggetto a errori umani se qualcuno non presta attenzione e accetta accidentalmente un codice che non corrisponde o s alta completamente il processo.
Inoltre, gli host e i partecipanti alla riunione devono assicurarsi di abilitare la crittografia end-to-end prima di iniziare la riunione, poiché non è attivata per impostazione predefinita. La ricerca di Saxena ha anche scoperto che i tipi di codici numerici utilizzati da Zoom potrebbero anche essere soggetti a un certo tipo di attacco.
Quindi, gli utenti di Zoom possono provare un certo sollievo dal fatto che la piattaforma abbia già affrontato i principali problemi di sicurezza sollevati dal reclamo FTC e ora offre la prima fase di crittografia end-to-end. Tuttavia, i partecipanti alla conferenza devono essere consapevoli del fatto che l'utilizzo corretto della nuova modalità di crittografia end-to-end richiede un'attenzione particolare quando è il momento del processo di convalida del codice all'inizio della chiamata.