SIKKERHET

Zoom får forsiktig smekk over fingrene etter å ha narret brukerne

Forliket åpner ikke for erstatning til brukerne.

Ingen grunn til å være så blid. Riktignok har videomøter i Zoom har blitt langt sikrere det siste halvåret, men selskapet får betydelig kritikk fra amerikanske myndigheter for å ha villedet brukerne i flere år. Foreløpig slipper selskapet straff.
Ingen grunn til å være så blid. Riktignok har videomøter i Zoom har blitt langt sikrere det siste halvåret, men selskapet får betydelig kritikk fra amerikanske myndigheter for å ha villedet brukerne i flere år. Foreløpig slipper selskapet straff. Foto: Zoom Video Communications
Harald BrombachHarald BrombachNyhetsleder
10. nov. 2020 - 17:00

Bruken av videomøtetjenesten Zoom mangedoblet seg i årets første kvartal, da koronapandemien for alvor brøt ut. I alle fall fram til mars opplyste selskapet bak tjenesten, Zoom Video Communications, at tjenesten støttet 256 bits ende-til-ende-kryptering (E2EE). Faktisk skal selskapet ha påstått dette i alle fall siden i 2016. Men det stemte ikke. I stedet har det helt fram til nylig vært mulig for selskapet å dekryptere alle samtaler. 

Dette førte til at det tidligere i år ble åpnet en sak om Zoom hos amerikanske Federal Trade Commission (FTC), som har ansvar for forbrukervern og konkurranseregulering på føderalt nivå i USA. Denne saken ser nå ut til å bli avsluttet med et forlik mellom de to partene

Fasade på hovedkvarteret til mobiloperatøren Masmovil i Spania.
Les også

Telenor fikk signalet de ventet på

Installerte webserver

Klagesaken fra FTC omfatter også flere andre tidligere forhold, inkludert usannheter om sikkerheten ved skylagrede opptak, og en skjult komponent som ble installert i MacOS sammen med Zoom-klienten. Denne komponenten, som ble kalt for ZoomOpener, var en slags webserver som svekket sikkerheten i Safari.

ZoomOpener ble ikke slettet dersom brukeren avinstallerte Zoom-klienten, og den kunne i noen tilfeller føre til at klienten automatisk ble installert på nytt. 

Forpliktelser

I det foreslåtte forliket med FTC forpliktes Zoom Video Communications til å gjøre tiltak som skal hindre at «problemer» som dette skjer igjen. Dette inkluderer blant annet årlig dokumentasjon av potensielle sikkerhetsrisikoer, innføring av sikkerhetsmekanismer som flerfaktor-autentisering, samt å sørge for at programvaren ikke er til hindring for tredjeparts sikkerhetsfunksjonalitet. 

I tillegg vil forliket innebære at sikkerhetsprogrammet til Zoom Video Communications skal revideres av en uavhengig tredjepart, godkjent av FTC, hvert annet år. 

Etter avsløringene i vår har Zoom Video Communications etter alt å dømme tatt sikkerheten langt mer alvorlig, så mye av det forliket vil kreve av selskapet, er nok allerede innført. 

Før forliket eventuelt blir endelig, skal det ut på offentlig høring i 30 dager. 

Les også

Google viser ny KI-teknologi: Kan lage realistiske videoer med enkle tekstkommandoer

… men ikke straff

Det var ikke full enighet i FTC om betingelsene for forliket. To av kommissærene stemte imot forliket. Ifølge Ars Technica er de blant annet misfornøyde med at Zoom Video Communications slipper å betale noen form for erstatning til kundene som har blitt narret. 

Det er likevel ikke sikkert at selskapet slipper så billig unna. I tillegg til FTC-saken, har Zoom Video Communications blitt saksøkt for mye av det samme av både investorer og forbrukere. 

Norsk akademisk bruk

I Norge var Zoom mye brukt av høyskoler og universiteter også før covid-19. Disse brukerne har i liten grad vært berørt av sikkerhetsproblemene rundt Zoom, da de benytter en separat tjeneste, som er en del av et nordisk samarbeid. Det er Nordunet som driver selve tjenesten (for abonnenter).

Kartet som viser antallet norske servere som var sårbare for Terrapin Attack den 4. januar 2023. Dette var de nyeste dataene tilgjengelige da artikkelen ble skrevet.
Les også

Nylig oppdaget angrepsteknikk: Tusenvis av norske servere er berørt

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra