Key Takeaway
- Suruhanjaya Perdagangan Persekutuan A. S. mengumumkan pada 9 November bahawa ia telah mencapai penyelesaian dengan Zoom selepas mendakwa ia mengelirukan pengguna berkenaan keselamatan.
- Penyelesaian memerlukan Zoom untuk meletakkan "program keselamatan yang menyeluruh" dilaksanakan.
- Zoom mengatakan ia telah menangani isu tersebut dan baru-baru ini mengumumkan ia akan memperkenalkan penyulitan hujung ke hujung.
Platform persidangan popular Zoom sedang meningkatkan amalan keselamatannya sebagai sebahagian daripada penyelesaian dengan Suruhanjaya Perdagangan Persekutuan (FTC) A. S., berikutan dakwaan agensi itu bahawa ia mengelirukan pengguna tentang tahap keselamatannya.
Zoom telah menjadi nama popular dalam masa beberapa bulan sahaja, dengan dunia beralih kepada platform persidangan videonya akibat wabak yang mengehadkan pertemuan secara langsung. Walau bagaimanapun, aduan FTC mendakwa bahawa Zoom "terlibat dalam siri amalan menipu dan tidak adil yang menjejaskan keselamatan penggunanya."
Ini mengikuti penelitian daripada pakar keselamatan awal tahun ini, yang mendapati platform itu tidak menggunakan penyulitan hujung ke hujung walaupun terdapat tuntutan pemasaran. Zoom juga telah melihat isu keselamatan lain semasa peningkatan popularitinya, seperti peserta yang tidak diingini melanggar mesyuarat dalam amalan yang dipanggil "zoombombing." Sebagai sebahagian daripada penyelesaian FTC, Zoom telah komited untuk melaksanakan "program keselamatan yang menyeluruh."
"Semasa pandemik, hampir semua orang-keluarga, sekolah, kumpulan sosial, perniagaan-menggunakan persidangan video untuk berkomunikasi, menjadikan keselamatan platform ini lebih kritikal berbanding sebelum ini," Andrew Smith, pengarah Biro Pengguna FTC Perlindungan berkata dalam kenyataan akhbar agensi itu.
"Amalan keselamatan Zum tidak sesuai dengan janjinya dan tindakan ini akan membantu memastikan mesyuarat Zum dan data tentang pengguna Zum dilindungi."
Pemeriksaan Kerajaan
Aduan FTC mendakwa Zoom mengelirukan penggunanya tentang beberapa isu berkaitan keselamatan, yang paling penting berkaitan dengan tuntutan yang dibuat tentang penyulitan hujung ke hujung.
Dikatakan bahawa Zoom telah mendakwa menawarkan penyulitan 256-bit hujung ke hujung untuk panggilan Zoom sejak 2016, tetapi benar-benar memberikan tahap keselamatan yang lebih rendah. Apabila penyulitan hujung ke hujung didayakan, hanya peserta dalam panggilan atau sembang mempunyai akses kepada maklumat yang ditukar-bukan Zoom, kerajaan atau mana-mana pihak lain.
Selain itu, aduan itu mendakwa Zoom menyimpan rakaman, mesyuarat tidak disulitkan pada pelayannya sehingga 60 hari apabila ia memberitahu beberapa penggunanya bahawa mereka akan disulitkan serta-merta.
Isu lain berkaitan dengan perisian Mac yang dipanggil ZoomOpener, yang kekal pada komputer pengguna walaupun semasa memadamkan Zoom dan boleh menyebabkan mereka terdedah kepada penggodam. "Perisian ini memintas tetapan keselamatan penyemak imbas Safari dan meletakkan pengguna dalam risiko-contohnya, ia mungkin membenarkan orang yang tidak dikenali mengintip pengguna melalui kamera web komputer mereka," jelas Pakar Pendidikan Pengguna FTC, Alvaro Puig, dalam catatan blog.
Respons Zum
Walaupun Zoom baru-baru ini menyelesaikan aduan FTC, syarikat itu memberitahu Lifewire dalam e-mel bahawa ia telah "sudah menangani" isu tersebut.
"Keselamatan pengguna kami adalah keutamaan utama untuk Zoom," seorang jurucakap syarikat memberitahu Lifewire dalam e-mel. Zoom telah mengambil beberapa langkah untuk menjawab dakwaan FTC, termasuk pelancaran pelan 90 hari pada bulan April yang menghasilkan lebih daripada 100 ciri yang berkaitan dengan privasi dan keselamatan.
Zoom telah memperkenalkan penyulitan hujung ke hujung pada penghujung Oktober, yang dimungkinkan melalui pengambilalihan Mei syarikat yang dipanggil Keybase. Penyulitan hujung ke hujung masih dalam mod yang disebut Zoom sebagai "pratonton teknikal", dan syarikat itu mengatakan bahawa pelayan Zoom tidak mempunyai akses kepada kunci penyulitan. Buat masa ini, beberapa ciri dihadkan dalam mod penyulitan hujung ke hujung, termasuk keupayaan untuk menyertai mesyuarat sebelum hos dan bilik pecahan.
Cara Menggunakan Penyulitan Hujung-ke-Hujung Zoom
University of Alabama di Birmingham profesor sains komputer Nitesh Saxena berkata bahawa usaha Zoom untuk melaksanakan sistem penyulitan hujung ke hujung yang sebenar ialah "langkah ke arah yang betul", tetapi ambil perhatian bahawa masih ada kerja yang perlu dilakukan.
"Terdapat isu penting yang perlu ditangani sebelum ini benar-benar dapat memberikan tahap keselamatan yang mungkin dituntut oleh pengguna daripada panggilan Zoom," katanya.
Saxena, yang telah mengkaji keselamatan Zoom secara meluas, berkata keselamatan kaedah penyulitan hujung-ke-hujungnya bergantung pada proses yang digunakan untuk mengesahkan kunci kriptografi peserta mesyuarat (langkah penting untuk menghalang penyadap daripada panggilan).
Dalam kes ini, pengguna menyemak sendiri perkara ini sebelum memulakan mesyuarat. Dalam fasa pertama protokol penyulitan hujung ke hujung Zoom, hos mesyuarat membaca kod 39 digit yang mesti disemak oleh orang lain pada skrin mereka.
Amalan keselamatan Zum tidak menepati janjinya, dan tindakan ini akan membantu memastikan mesyuarat Zum dan data tentang pengguna Zum dilindungi.
Menurut penyelidikan oleh Saxena dan pasukannya, pendekatan ini mungkin terdedah kepada kesilapan manusia jika seseorang tidak memberi perhatian dan secara tidak sengaja menerima kod yang tidak sepadan atau melangkau proses sepenuhnya.
Selain itu, hos mesyuarat dan peserta mesti memastikan mereka mendayakan penyulitan hujung ke hujung sebelum memulakan mesyuarat, kerana ia tidak dihidupkan secara lalai. Penyelidikan Saxena juga mendapati bahawa jenis kod berangka yang digunakan Zoom juga mungkin terdedah kepada jenis serangan tertentu.
Jadi, pengguna Zoom boleh berasa sedikit lega kerana platform itu telah menangani isu keselamatan utama yang dibangkitkan oleh aduan FTC, dan kini menawarkan fasa pertama penyulitan hujung ke hujung. Walau bagaimanapun, peserta persidangan harus sedar bahawa menggunakan mod penyulitan hujung ke hujung baharu dengan betul memerlukan perhatian tambahan apabila tiba masanya untuk proses pengesahan kod pada permulaan panggilan.