Asosiy takliflar
- AQSh Federal Savdo Komissiyasi 9-noyabr kuni foydalanuvchilarni xavfsizlik borasida chalgʻitganlikda ayblab, Zoom bilan kelishuvga erishganini eʼlon qildi.
- Hisoblash uchun Zoom "keng qamrovli xavfsizlik dasturi"ni ishga tushirishni talab qiladi.
- Zoom allaqachon muammolarni hal qilganini va yaqinda uchdan-end shifrlashni joriy etishini e'lon qildi.
Mashhur konferentsiya platformasi Zoom agentlikning foydalanuvchilarni xavfsizlik darajasi haqida chalgʻitgani haqidagi daʼvolaridan keyin AQSh Federal Savdo Komissiyasi (FTC) bilan kelishuv doirasida xavfsizlik amaliyotini kuchaytirmoqda.
Zoom bir necha oy ichida mashhur nomga aylandi, pandemiya tufayli yuzma-yuz uchrashuvlarni keskin cheklab qoʻyganligi sababli dunyo oʻzining videokonferentsaloqa platformasiga aylandi. Biroq, FTC shikoyatiga ko'ra, Zoom "o'z foydalanuvchilari xavfsizligiga putur etkazadigan bir qator yolg'on va adolatsiz amaliyotlar bilan shug'ullangan".
Bu yil boshida xavfsizlik boʻyicha mutaxassislar tomonidan tekshirilgandan soʻng, marketing daʼvolariga qaramay platforma uchdan-uchgacha shifrlashdan foydalanmayotganini aniqladi. Zoom o'zining mashhurligi oshishi davrida boshqa xavfsizlik muammolarini ham ko'rdi, masalan, nomaqbul ishtirokchilar "zoombombing" deb nomlangan amaliyotda yig'ilishlarni buzishadi. FTC kelishuvining bir qismi sifatida Zoom "keng qamrovli xavfsizlik dasturini" amalga oshirish majburiyatini oldi.
"Pandemiya davrida deyarli hamma - oilalar, maktablar, ijtimoiy guruhlar, korxonalar muloqot qilish uchun videokonferensaloqadan foydalanmoqda, bu esa ushbu platformalar xavfsizligini har qachongidan ham muhimroq qiladi ", - Endryu Smit, FTC iste'molchilar byurosi direktori. Himoya agentligining press-relizida aytiladi.
"Zoom xavfsizlik amaliyotlari uning va'dalariga mos kelmadi va bu harakat Zoom uchrashuvlari va Zoom foydalanuvchilari haqidagi ma'lumotlar himoyalanganligiga ishonch hosil qilishga yordam beradi."
Hukumat tekshiruvi
FTC shikoyatiga koʻra, Zoom oʻz foydalanuvchilarini xavfsizlik bilan bogʻliq bir qancha muammolar boʻyicha chalgʻitgan, ulardan eng muhimi uchdan-end shifrlash haqidagi daʼvolarga tegishli.
Ma'lum qilinishicha, Zoom 2016 yildan beri Zoom qo'ng'iroqlari uchun 256 bitli shifrlashni taklif qilmoqda, ammo haqiqatan ham xavfsizlikning past darajasini ta'minlagan. Oxir-oqibat shifrlash yoqilgan bo‘lsa, faqat qo‘ng‘iroq yoki chat ishtirokchilari almashiladigan ma’lumotlardan foydalanishi mumkin, Zoom, hukumat yoki boshqa tomonlar emas.
Bundan tashqari, shikoyatda Zoom oʻz serverlarida yozib olingan, shifrlanmagan uchrashuvlarni 60 kungacha saqlab qolgani, biroq u baʼzi foydalanuvchilariga ular darhol shifrlanishini aytgani aytiladi.
Yana bir muammo ZoomOpener nomli Mac dasturiy ta'minoti bilan bog'liq bo'lib, u hatto Zoom o'chirilganda ham foydalanuvchilarning kompyuterlarida qoladi va ularni xakerlarga qarshi himoyasiz qilib qo'yishi mumkin edi. "Ushbu dastur Safari brauzerining xavfsizlik sozlamalarini chetlab o'tdi va foydalanuvchilarni xavf ostiga qo'ydi - masalan, u notanish odamlarga o'z kompyuterlarining veb-kameralari orqali foydalanuvchilarga josuslik qilishga ruxsat berishi mumkin edi", deb tushuntiradi FTC iste'molchilar ta'limi bo'yicha mutaxassisi Alvaro Puig blog postida.
Zoom javobi
Zoom yaqinda FTC shikoyatini hal qilgan boʻlsada, kompaniya Lifewire’ga elektron pochta orqali muammolarni “allaqachon hal qilganini” aytdi.
“Foydalanuvchilarimiz xavfsizligi Zoom uchun ustuvor vazifadir”, dedi kompaniya vakili Lifewire’ga elektron pochta orqali. Zoom FTC ayblovlariga javob berish uchun bir qancha qadamlar qo‘ydi, jumladan, aprel oyida maxfiylik va xavfsizlik bilan bog‘liq 100 dan ortiq xususiyatni taqdim etgan 90 kunlik reja ishga tushirildi.
Zoom may oyi oxirida Keybase nomli kompaniyani sotib olishi tufayli mumkin boʻlgan uchdan-end shifrlashni joriy qildi. Oxir-oqibat shifrlash hali ham Zoom "texnik ko'rib chiqish" deb ataydigan rejimda va kompaniya Zoom serverlarida shifrlash kalitlariga kirish imkoni yo'qligini aytadi. Hozircha baʼzi funksiyalar uchdan-end shifrlash rejimida cheklangan, jumladan, mezbondan oldin majlisga qoʻshilish va suhbat xonalari.
Masshtabning oxirigacha shifrlashidan qanday foydalanish kerak
Birmingemdagi Alabama universitetining kompyuter fanlari professori Nitesh Saksenaning aytishicha, Zoom-ning haqiqiy uchdan-end shifrlash tizimini joriy etishga bo'lgan sa'y-harakatlari "to'g'ri yo'nalishdagi qadam", ammo hali qilinishi kerak bo'lgan ish borligini ta'kidlaydi.
“Bu haqiqatan ham foydalanuvchilar Zoom qoʻngʻiroqlaridan talab qilishi mumkin boʻlgan xavfsizlik darajasini taʼminlay olishidan oldin hal qilinishi kerak boʻlgan muhim muammolar bor”, deydi u.
Zoom xavfsizligini keng oʻrgangan Saxenaning taʼkidlashicha, uning uchdan-end shifrlash usulining xavfsizligi pirovardida yigʻilish ishtirokchilarining kriptografik kalitlarini tekshirishda qoʻllaniladigan jarayonga bogʻliq (quloqqa tinglovchilarni qoʻngʻiroqdan uzoqlashtirishning asosiy bosqichidir)).
Bunday holatda, foydalanuvchilar uchrashuvni boshlashdan oldin buni oʻzlari tekshiradi. Zoom-ning uchdan-end shifrlash protokolining birinchi bosqichida uchrashuv mezboni 39 xonali kodni o‘qiydi, uni boshqalar ekranida tekshirishi kerak.
Zoom xavfsizlik amaliyotlari uning va'dalariga mos kelmadi va bu harakat Zoom uchrashuvlari va Zoom foydalanuvchilari haqidagi ma'lumotlar himoyalanganligiga ishonch hosil qilishga yordam beradi.
Saxena va uning jamoasi tadqiqotiga koʻra, agar kimdir eʼtibor bermasa va tasodifan mos kelmaydigan kodni qabul qilsa yoki jarayonni butunlay oʻtkazib yuborsa, bu yondashuv inson xatosiga moyil boʻlishi mumkin.
Shuningdek, uchrashuv boshlovchilari va ishtirokchilari uchrashuvni boshlashdan oldin uchdan-end shifrlashni yoqishlariga ishonch hosil qilishlari kerak, chunki u sukut boʻyicha yoqilmagan. Saxena tadqiqoti shuni koʻrsatdiki, Zoom ishlatayotgan raqamli kodlar ham maʼlum turdagi hujumlarga moyil boʻlishi mumkin.
Shunday qilib, Zoom foydalanuvchilari platforma FTC shikoyati bilan koʻtarilgan asosiy xavfsizlik muammolarini hal qilgani va endi oxirigacha shifrlashning birinchi bosqichini taklif qilgani uchun biroz yengillik his qilishlari mumkin. Biroq konferensiya ishtirokchilari bilishi kerakki, yangi uchdan-end shifrlash rejimidan to‘g‘ri foydalanish qo‘ng‘iroq boshida kodni tekshirish vaqti kelganida qo‘shimcha e’tibor berishni talab qiladi.
