Zoom introduce criptare end-to-end și pentru apelurile video pornite de pe conturi gratuite

Autor: Aurelian Mihai 18.06.2020
Zoom introduce criptare end-to-end și pentru apelurile video pornite de pe conturi gratuite

Deși promiteau siguranță deplină a comunicațiilor, fără posibilitatea ca apelurile audio sau video să fie interceptate, dezvoltatorii Zoom nu eu reușit decât să stârnească un scandal, după ce analize independente au evidențiat lipsuri majore majore în securitatea platformei de colaborare.

În primă fază, compania folosea pentru apeluri video criptare TLS, nu end-to-end, ceea ce înseamna că toate conversaţiile treceau mai întâi prin serverele lor, securizate la fel ca datele încărcate pe un site standard HTTPS. În mod convenabil, compania bănuită de legături cu statul chinez avea acces la toate comunicațiile utilizatorilor. Desigur, administratorii platformei spuneau că nu pot accesa aceste date, întrucât nu deţin cheile de criptare necesare.

Sesizând pierderea abruptă de credibilitate, compania a anunțat un plan pe 90 zile pentru întărirea sistemelor de securitate. O etapă importantă în acest proces era implementarea unui sistem funcțional de criptare end-to-end, care să ofere un nivel protecție comparabil platformelor rivale de mesagerie, WatsApp și Signal. Numai că, promisiunea a venit cu o mulțime de excepții, lăsând pe dinafară vasta majoritate a utilizatorilor.

Din grijă pentru FBI

Acuzând riscul ca aplicația să poată fi utilizată pentru activități ilegale, dezvoltatorii Zoom au anunțat că vor activa criptarea end-to-end doar pentru utilizatorii care folosesc unul dintre abonamentele Zoom plătite (care încep de la 14,99 dolari pe lună). Și cum vasta majoritatea a sesiunilor de videoconferință se desfășoară de pe conturi gratuite, promisiunea unor comunicații mai sigure devenea în mare parte o minciună, care lăsa un fals sentiment de siguranță utilizatorilor slab informați.

Schimbare de planuri

Revenind asupra acestei decizii, dezvoltatorii Zoom promit acum că vor oferi criptare end-to-end atât în versiunea Enterprise, cât și cea gratuită a serviciului. Dar, în continuare criptarea nu va fi activată în mod implicit, aceasta apărând doar ca o setare pe care organizatorii sesiunilor de videoconferință o pot bifa, sau nu. În continuare, rămân limitări care să descurajeze folosirea opțiunii de criptare a conexiunii. Spre exemplu, participanților nu le va fi posibil să se alăture telefonic, iar înregistrarea sesiunilor video în cloud nu va fi posibilă.

În plus, este introdusă condiția validării identității, menită să descurajeze folosirea platformei în scopuri rău intenționate:

Planificăm să oferim criptare end-to-end utilizatorilor pentru care putem verifica identitatea, limitând astfel daunele aduse grupurilor vulnerabile. Posesorii conturilor gratuite se înregistrează cu o adresă de e-mail, care nu oferă suficiente informații pentru a verifica identitatea.

Pentru a face posibil acest lucru, utilizatorii Free / Basic care doresc acces la E2EE vor participa la un proces unic care va solicita utilizatorului informații suplimentare, precum verificarea unui număr de telefon printr-un mesaj text”, explică administratorii Zoom. „Multe companii de top efectuează pași similari în validarea conturilor pentru a împiedica înregistrarea în masă a conturilor abuzive. Suntem siguri că, prin implementarea autentificării bazate pe riscuri, în combinație cu setul actual de instrumente – inclusiv funcția de raportare a utilizatorilor – putem continua să prevenim și să combatem abuzurile. ”

Tags: