Bruken av videomøtetjenesten Zoom mangedoblet seg i årets første kvartal, da koronapandemien for alvor brøt ut. I alle fall fram til mars opplyste selskapet bak tjenesten, Zoom Video Communications, at tjenesten støttet 256 bits ende-til-ende-kryptering (E2EE). Faktisk skal selskapet ha påstått dette i alle fall siden i 2016. Men det stemte ikke. I stedet har det helt fram til nylig vært mulig for selskapet å dekryptere alle samtaler.
Dette førte til at det tidligere i år ble åpnet en sak om Zoom hos amerikanske Federal Trade Commission (FTC), som har ansvar for forbrukervern og konkurranseregulering på føderalt nivå i USA. Denne saken ser nå ut til å bli avsluttet med et forlik mellom de to partene.
Fem råd for bedre leverandørsikkerhet
Installerte webserver
Klagesaken fra FTC omfatter også flere andre tidligere forhold, inkludert usannheter om sikkerheten ved skylagrede opptak, og en skjult komponent som ble installert i MacOS sammen med Zoom-klienten. Denne komponenten, som ble kalt for ZoomOpener, var en slags webserver som svekket sikkerheten i Safari.
ZoomOpener ble ikke slettet dersom brukeren avinstallerte Zoom-klienten, og den kunne i noen tilfeller føre til at klienten automatisk ble installert på nytt.
Forpliktelser
I det foreslåtte forliket med FTC forpliktes Zoom Video Communications til å gjøre tiltak som skal hindre at «problemer» som dette skjer igjen. Dette inkluderer blant annet årlig dokumentasjon av potensielle sikkerhetsrisikoer, innføring av sikkerhetsmekanismer som flerfaktor-autentisering, samt å sørge for at programvaren ikke er til hindring for tredjeparts sikkerhetsfunksjonalitet.
I tillegg vil forliket innebære at sikkerhetsprogrammet til Zoom Video Communications skal revideres av en uavhengig tredjepart, godkjent av FTC, hvert annet år.
Etter avsløringene i vår har Zoom Video Communications etter alt å dømme tatt sikkerheten langt mer alvorlig, så mye av det forliket vil kreve av selskapet, er nok allerede innført.
Før forliket eventuelt blir endelig, skal det ut på offentlig høring i 30 dager.
Startet av 14-åring - var blant verdens viktigste: Kroken på døra for teknologiside
… men ikke straff
Det var ikke full enighet i FTC om betingelsene for forliket. To av kommissærene stemte imot forliket. Ifølge Ars Technica er de blant annet misfornøyde med at Zoom Video Communications slipper å betale noen form for erstatning til kundene som har blitt narret.
Det er likevel ikke sikkert at selskapet slipper så billig unna. I tillegg til FTC-saken, har Zoom Video Communications blitt saksøkt for mye av det samme av både investorer og forbrukere.
Norsk akademisk bruk
I Norge var Zoom mye brukt av høyskoler og universiteter også før covid-19. Disse brukerne har i liten grad vært berørt av sikkerhetsproblemene rundt Zoom, da de benytter en separat tjeneste, som er en del av et nordisk samarbeid. Det er Nordunet som driver selve tjenesten (for abonnenter).
Ble kalt et «sikkerhetsmareritt» – slik beroliger Microsoft kundene
