Clau per emportar
- La Comissió Federal de Comerç dels Estats Units va anunciar el 9 de novembre que havia arribat a un acord amb Zoom després d'al·legar que va enganyar els usuaris pel que fa a la seguretat.
- L'acord requereix que Zoom estableixi un "programa de seguretat integral".
- Zoom diu que ja ha resolt els problemes i recentment va anunciar que introduiria l'encriptació d'extrem a extrem.
La popular plataforma de conferències Zoom està reforçant les seves pràctiques de seguretat com a part d'un acord amb la Comissió Federal de Comerç (FTC) dels Estats Units, després de les al·legacions de l'agència que va enganyar els usuaris sobre el seu nivell de seguretat.
Zoom s'ha convertit en un nom familiar en qüestió de pocs mesos, amb el món recorrent a la seva plataforma de videoconferència a causa de la pandèmia que limita molt les reunions presencials. Tanmateix, una queixa de la FTC va al·legar que Zoom "va participar en una sèrie de pràctiques enganyoses i injustes que van soscavar la seguretat dels seus usuaris".
Això va seguir l'escrutini d'experts en seguretat a principis d'any, que van trobar que la plataforma no utilitzava xifratge d'extrem a extrem malgrat les afirmacions de màrqueting. Zoom també ha vist altres problemes de seguretat durant el seu augment de popularitat, com ara participants no desitjats que van estavellar reunions en una pràctica anomenada "zoombombing". Com a part de l'acord de la FTC, Zoom s'ha compromès a implementar un "programa de seguretat integral".
"Durant la pandèmia, pràcticament tothom -famílies, escoles, grups socials, empreses- està utilitzant la videoconferència per comunicar-se, fent que la seguretat d'aquestes plataformes sigui més crítica que mai", Andrew Smith, director de l'Oficina de Consumidors de la FTC. Protecció diu en el comunicat de premsa de l'agència.
"Les pràctiques de seguretat de Zoom no s'ajustaven a les seves promeses, i aquesta acció ajudarà a assegurar-se que les reunions de Zoom i les dades dels usuaris de Zoom estiguin protegides."
Escrutini governamental
La queixa de la FTC al·lega que Zoom va enganyar els seus usuaris sobre diversos problemes relacionats amb la seguretat, el més important dels quals està relacionat amb les afirmacions fetes sobre l'encriptació d'extrem a extrem.
Des del 2016, Zoom afirma que ofereix un xifratge de 256 bits d'extrem a extrem per a les trucades de Zoom, però que realment proporciona un nivell de seguretat més baix. Quan el xifratge d'extrem a extrem està activat, només els participants d'una trucada o xat tenen accés a la informació intercanviada, no de Zoom, el govern o qualsevol altra part.
A més, la queixa al·lega que Zoom va emmagatzemar reunions gravades i sense xifrar als seus servidors durant un màxim de 60 dies quan va dir a alguns dels seus usuaris que les xifrarien immediatament.
Un altre problema es relaciona amb el programari de Mac anomenat ZoomOpener, que es va quedar als ordinadors dels usuaris fins i tot quan es va suprimir Zoom i podria haver-los fet vulnerables als pirates informàtics. "Aquest programari va passar per alt una configuració de seguretat del navegador Safari i va posar en risc els usuaris; per exemple, podria haver permès que els desconeguts espiessin els usuaris a través de les càmeres web del seu ordinador", explica l'especialista en educació del consumidor de l'FTC, Álvaro Puig, en una publicació al bloc..
Resposta de Zoom
Mentre que Zoom va resoldre recentment la queixa de la FTC, l'empresa va dir a Lifewire en un correu electrònic que "ja ha resolt" els problemes.
"La seguretat dels nostres usuaris és una prioritat màxima per a Zoom", va dir un portaveu de l'empresa a Lifewire en un correu electrònic. Zoom ha pres diverses mesures per respondre a les denúncies de la FTC, inclòs el llançament d'un pla de 90 dies a l'abril que va oferir més de 100 funcions relacionades amb la privadesa i la seguretat.
Zoom va introduir el xifratge d'extrem a extrem a finals d'octubre, possible gràcies a l'adquisició al maig d'una empresa anomenada Keybase. El xifratge d'extrem a extrem encara es troba en el que Zoom anomena "visió prèvia tècnica" i la companyia diu que els servidors de Zoom no tenen accés a les claus de xifratge. De moment, algunes funcions estan restringides en el mode d'encriptació d'extrem a extrem, inclosa la possibilitat d'unir-se a la reunió abans de l'amfitrió i les sales de treball.
Com utilitzar el xifratge d'extrem a extrem de Zoom
El professor d'informàtica dede la Universitat d'Alabama a Birmingham, Nitesh Saxena, diu que els esforços de Zoom per implementar un veritable sistema de xifratge d'extrem a extrem són un "pas en la direcció correcta", però assenyala que encara hi ha feina per fer.
"Hi ha problemes significatius que s'han de resoldre abans que això pugui proporcionar realment el nivell de seguretat que els usuaris poden exigir a les trucades de Zoom", diu.
Saxena, que ha estudiat àmpliament la seguretat de Zoom, diu que la seguretat del seu mètode d'encriptació d'extrem a extrem es basa, en última instància, en el procés utilitzat per validar les claus criptogràfiques dels participants de la reunió (un pas clau per mantenir els escoltes fora de la trucada).).
En aquest cas, els usuaris ho comproven ells mateixos abans d'iniciar la reunió. A la primera fase de Zoom del seu protocol de xifratge d'extrem a extrem, l'amfitrió de la reunió llegeix un codi de 39 dígits que els altres han de comprovar a la seva pantalla.
Les pràctiques de seguretat de Zoom no s'ajustaven a les seves promeses, i aquesta acció ajudarà a assegurar-se que les reunions de Zoom i les dades dels usuaris de Zoom estiguin protegides.
Segons la investigació de Saxena i el seu equip, aquest enfocament podria ser propens a errors humans si algú no presta atenció i accepta accidentalment un codi que no coincideix o s'omet completament el procés.
A més, els amfitrions i els participants de la reunió s'han d'assegurar que activen l'encriptació d'extrem a extrem abans d'iniciar la reunió, ja que no està activada de manera predeterminada. La investigació de Saxena també va trobar que els tipus de codis numèrics que utilitza Zoom també podrien ser propensos a un determinat tipus d'atac.
Per tant, els usuaris de Zoom poden sentir un cert alleujament que la plataforma ja ha abordat els principals problemes de seguretat plantejats per la queixa de l'FTC i ara ofereix la primera fase de xifratge d'extrem a extrem. Tanmateix, els participants de la conferència han de ser conscients que utilitzar correctament el nou mode d'encriptació d'extrem a extrem requereix prestar una atenció addicional quan sigui el moment del procés de validació del codi al començament de la trucada.
