A Zoom évekig hazudott a felhasználónak a titkosításról

Az amerikai Szövetségi Kereskedelmi Bizottság (FTC) 2020. november 9-én jelentette be, hogy korábban panasszal él a Zoom ellen, mivel az 2016 óta valótlanul állította ügyfeleinek, hogy beszélgetéseik végponttól végpontig (end-to-end, e2e) titkosítva vannak. A panasz alapján indult eljárásban az FTC és a Zoom végül megállapodást kötöttek, melyben a Zoom – többek között – vállalta az adatvédelmi rendszerének fejlesztését. A Zoom napi felhasználóinak száma a Covid-19 járvány hatására néhány hónap alatt 10 millióról 300 millióra nőtt. A szoftvert azóta számos cég és oktatási intézmény is használja napi működésében.

A cég állítása szerint 256-bites titkosítást biztosít a szolgáltatást használóknak, azonban az FTC vizsgálata rámutatott, hogy ez nem felelt meg a valóságnak. A Zoom ugyanis megtartotta a beszélgetésekhez tartozó titkosítási kulcsokat, melyek segítségével ezek a beszélgetések végül mégis visszafejthetők voltak. A chat beszélgetések teljes e2e titkosításával kapcsolatban itt írtunk.

Az FTC megjegyezte, hogy a Zoom már 2016-ban és 2017-ben azt állította, hogy teljes titkosítással rendelkezik, amikor az erről szóló beszámolóját adta be azt megelőzően, hogy egészségügyi dolgozók használatba vették a szoftvert. Ezen kívül a cég egy 2017-es blogposztban, egy 2019-es jelentésben és számos ügyfelekkel való kommunikációban állította, hogy a szolgáltatás végponttól végpontig titkosított.

A Szövetség rámutatott, hogy az e2e titkosítás csak akkor volt elérhető, ha a felhasználók a Zoom Connecter nevű szolgáltatást használták, melyek a Zoom saját szerverein futnak. Azonban az ezen kívül eső beszélgetések esetében a cég a titkosítási kulcsokat megtartotta, ami azért is aggályos, mert a szervereik egy része Kínában található. Szintén megtévesztették a céges felhasználókat, akik azt hihették, hogy a felhőbe feltöltött céges beszélgetéseik azonnal titkosítva lesznek, holott egyes esetekben ezek a beszélgetések akár 60 napig titkosítatlanok maradtak.

Az ügy úgy néz ki, hogy megállapodással fog végződni az FTC és a cég között, melyet elsősorban a Republikánus párt támogatja, míg a Demokraták kifogásolják, ugyanis szerintük nem elégségesek a Zoom ellen hozott intézkedések. Megjegyzik, hogy a megállapodás keretében a Zoomnak egyáltalán nem kell megtérítenie a felhasználóknak okozott károkat, ezen kívül bírságot sem szabtak ki rá. Azóta már bejelentették, hogy bevezetik a teljes titkosítást. Bár bírságolásra valóban nem került sor, a cég ellen több eljárás is folyamatban van, melyekben várhatóan kártérítést kell majd fizetniük.

Az ügyben szó esik a ZoomOpener Web szerver-szolgáltatásáról is, melyet azzal vádolnak, hogy kijátszotta az Apple beépített biztonsági rendszereit. Ennek a funkciónak az élesítése „titokban” történt meg 2018 júniusában egy frissítés keretében. A szolgáltatás automatikusan képes volt Zoom beszélgetést indítani, kikerülve ezzel a Safari böngészőbe épített védelmet. Ez az FTC szerint növelte a kockázatot, hogy a felhasználók malware áldozatává váljanak, továbbá bizonyos esetekben az alkalmazás felhasználói beavatkozás nélkül újratelepítette magát, mely szintén aggályos.

Az üggyel kapcsolatos megállapodáshoz 30 napig fűzhető javaslat vagy kifogás, ezt követően az FTC szavazni fog róla. A bejelentés szerint a Zoom a következőkbe egyezett bele:

• Évi rendszerességgel felméri és dokumentálja a belső és külső biztonsági kockázatokat, valamint intézkedéseket vezet be ezek kivédésére.
• Létrehoz egy sebezhetőség-kezelési programot.
• További biztonsági intézkedéseket vezet be, mint például a kétlépcsős azonosítás, hogy megakadályozza a hálózatához való illetéktelen hozzáférést; adattörlési intézkedéseket hoz; és lépéseket tesz, hogy megakadályozza a sebezhetővé vált fiókokhoz tartozó adatok felhasználását.

Az FTC szintén megtiltotta a Zoomnak, hogy a jövőben megtévessze ügyfeleit a használt biztonsági intézkedésekkel, és az adatok tárolási idejének, illetve felhasználási céljaival kapcsolatban. A Zoomnak továbbá jelentenie kell minden szoftverfrissítést, és harmadik féltől kétévente be kell szereznie biztonsági tanúsítványt. A Zoom és FTC közti megállapodás tervezett időtartama 20 év.