ซื้อกลับบ้านที่สำคัญ
- คณะกรรมาธิการการค้าแห่งสหพันธรัฐของสหรัฐอเมริกาประกาศเมื่อวันที่ 9 พ.ย. ว่าได้บรรลุข้อตกลงกับ Zoom หลังจากกล่าวหาว่าผู้ใช้เข้าใจผิดเกี่ยวกับความปลอดภัย
- ข้อตกลงนี้ต้องการให้ Zoom นำ "โปรแกรมความปลอดภัยที่ครอบคลุม" มาใช้
- Zoom บอกว่าได้แก้ไขปัญหาแล้ว และเพิ่งประกาศว่าจะแนะนำการเข้ารหัสแบบ end-to-end
Zoom แพลตฟอร์มการประชุมยอดนิยมกำลังเสริมแนวปฏิบัติด้านความปลอดภัยซึ่งเป็นส่วนหนึ่งของข้อตกลงกับคณะกรรมาธิการการค้าแห่งสหพันธรัฐแห่งสหรัฐอเมริกา (FTC) หลังจากหน่วยงานกล่าวหาว่าผู้ใช้เข้าใจผิดเกี่ยวกับระดับความปลอดภัย
Zoom ได้กลายเป็นชื่อที่คุ้นเคยในเวลาเพียงไม่กี่เดือน โดยที่โลกเปลี่ยนไปใช้แพลตฟอร์มการประชุมทางวิดีโอเนื่องจากการระบาดใหญ่ที่จำกัดการประชุมแบบตัวต่อตัวอย่างรุนแรง อย่างไรก็ตาม การร้องเรียนของ FTC กล่าวหาว่า Zoom "มีส่วนร่วมในชุดของการปฏิบัติที่หลอกลวงและไม่เป็นธรรมที่บ่อนทำลายความปลอดภัยของผู้ใช้"
ตามมาด้วยการตรวจสอบจากผู้เชี่ยวชาญด้านความปลอดภัยเมื่อต้นปีนี้ ซึ่งพบว่าแพลตฟอร์มนี้ไม่ได้ใช้การเข้ารหัสแบบ end-to-end แม้ว่าจะมีการกล่าวอ้างทางการตลาดก็ตาม Zoom ยังพบเห็นปัญหาด้านความปลอดภัยอื่นๆ ในระหว่างที่กำลังได้รับความนิยม เช่น ผู้เข้าร่วมที่ไม่ได้รับเชิญมาขัดขวางการประชุมในลักษณะที่เรียกว่า "zoombombing" ในฐานะที่เป็นส่วนหนึ่งของข้อตกลง FTC Zoom มุ่งมั่นที่จะใช้ "โปรแกรมความปลอดภัยที่ครอบคลุม"
"ในช่วงการแพร่ระบาด แทบทุกครอบครัว โรงเรียน กลุ่มสังคม ธุรกิจต่างๆ กำลังใช้การประชุมทางวิดีโอเพื่อสื่อสารกัน ทำให้ความปลอดภัยของแพลตฟอร์มเหล่านี้มีความสำคัญมากกว่าที่เคย" แอนดรูว์ สมิธ ผู้อำนวยการสำนักผู้บริโภคของ FTC Protection กล่าวในการแถลงข่าวของหน่วยงาน
"แนวทางปฏิบัติด้านความปลอดภัยของ Zoom ไม่สอดคล้องกับคำสัญญา และการดำเนินการนี้จะช่วยให้แน่ใจว่าการประชุม Zoom และข้อมูลเกี่ยวกับผู้ใช้ Zoom ได้รับการปกป้อง"
การพิจารณาของรัฐบาล
การร้องเรียนของ FTC อ้างว่า Zoom ทำให้ผู้ใช้เข้าใจผิดเกี่ยวกับปัญหาด้านความปลอดภัยหลายประการ ซึ่งประเด็นที่สำคัญที่สุดเกี่ยวข้องกับการอ้างสิทธิ์เกี่ยวกับการเข้ารหัสจากต้นทางถึงปลายทาง
มันบอกว่า Zoom อ้างว่าเสนอการเข้ารหัสแบบ end-to-end แบบ 256 บิตสำหรับการโทรด้วย Zoom ตั้งแต่ปี 2016 แต่ให้ความปลอดภัยในระดับที่ต่ำกว่าจริงๆ เมื่อเปิดใช้งานการเข้ารหัสแบบ end-to-end เฉพาะผู้เข้าร่วมในการโทรหรือแชทเท่านั้นที่สามารถเข้าถึงข้อมูลที่แลกเปลี่ยนกันได้ ไม่ใช่ Zoom, รัฐบาล หรือฝ่ายอื่นๆ
นอกจากนี้ คำร้องเรียนยังอ้างว่า Zoom จัดเก็บการประชุมที่ไม่ได้เข้ารหัสไว้บนเซิร์ฟเวอร์นานถึง 60 วัน เมื่อแจ้งผู้ใช้บางคนว่าพวกเขาจะถูกเข้ารหัสทันที
อีกปัญหาหนึ่งเกี่ยวข้องกับซอฟต์แวร์ Mac ที่ชื่อ ZoomOpener ซึ่งยังคงอยู่บนคอมพิวเตอร์ของผู้ใช้แม้ในขณะที่ลบ Zoom และอาจทำให้พวกเขาเสี่ยงต่อการถูกแฮ็กเกอร์ "ซอฟต์แวร์นี้ข้ามการตั้งค่าความปลอดภัยของเบราว์เซอร์ Safari และทำให้ผู้ใช้ตกอยู่ในความเสี่ยง ตัวอย่างเช่น อาจทำให้คนแปลกหน้าสามารถสอดแนมผู้ใช้ผ่านกล้องเว็บของคอมพิวเตอร์ได้" Alvaro Puig ผู้เชี่ยวชาญด้านการศึกษาผู้บริโภคของ FTC อธิบายในโพสต์บล็อก
การตอบกลับของการซูม
ในขณะที่ Zoom เพิ่งยุติการร้องเรียน FTC บริษัทบอกกับ Lifewire ทางอีเมลว่าได้ "จัดการแล้ว" ปัญหาแล้ว
"การรักษาความปลอดภัยของผู้ใช้ของเรามีความสำคัญสูงสุดสำหรับ Zoom" โฆษกของบริษัทบอกกับ Lifewire ทางอีเมล Zoom ได้ดำเนินการหลายขั้นตอนเพื่อตอบสนองต่อข้อกล่าวหาของ FTC รวมถึงการเปิดตัวแผน 90 วันในเดือนเมษายนซึ่งให้คุณสมบัติมากกว่า 100 รายการที่เกี่ยวข้องกับความเป็นส่วนตัวและความปลอดภัย
Zoom เปิดตัวการเข้ารหัสแบบ end-to-end ในปลายเดือนตุลาคม ซึ่งเป็นไปได้โดยการเข้าซื้อกิจการของบริษัทที่ชื่อว่า Keybase เมื่อเดือนพฤษภาคม การเข้ารหัสแบบ end-to-end ยังคงอยู่ในโหมดที่ Zoom เรียกว่า "การแสดงตัวอย่างทางเทคนิค" และบริษัทกล่าวว่าเซิร์ฟเวอร์ของ Zoom ไม่สามารถเข้าถึงคีย์การเข้ารหัสได้ ในตอนนี้ คุณลักษณะบางอย่างถูกจำกัดในโหมดการเข้ารหัสแบบ end-to-end ซึ่งรวมถึงความสามารถในการเข้าร่วมการประชุมต่อหน้าโฮสต์และห้องกลุ่มย่อย
วิธีใช้การเข้ารหัสแบบ End-to-End ของ Zoom
มหาวิทยาลัยอลาบามา ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์เบอร์มิงแฮม Nitesh Saxena กล่าวว่าความพยายามของ Zoom ในการนำระบบการเข้ารหัสแบบ end-to-end มาใช้จริงนั้นเป็น "ขั้นตอนในทิศทางที่ถูกต้อง" แต่สังเกตว่ายังมีงานต้องทำ
"มีปัญหาสำคัญที่ต้องแก้ไขก่อนที่จะสามารถให้ระดับความปลอดภัยที่ผู้ใช้อาจต้องการจากการโทร Zoom" เขากล่าว
Saxena ผู้ซึ่งศึกษาความปลอดภัยของ Zoom มาอย่างถี่ถ้วนแล้ว กล่าวว่าการรักษาความปลอดภัยของวิธีการเข้ารหัสแบบ end-to-end นั้นขึ้นอยู่กับกระบวนการที่ใช้ตรวจสอบความถูกต้องของคีย์เข้ารหัสของผู้เข้าร่วมการประชุม).
ในกรณีนี้ ผู้ใช้ตรวจสอบตัวเองก่อนเริ่มการประชุม ในเฟสแรกของ Zoom ของโปรโตคอลการเข้ารหัสแบบ end-to-end ผู้จัดการประชุมจะอ่านรหัส 39 หลักที่ผู้อื่นต้องตรวจสอบบนหน้าจอของพวกเขา
หลักปฏิบัติด้านความปลอดภัยของ Zoom ไม่สอดคล้องกับคำมั่นสัญญา และการดำเนินการนี้จะช่วยให้แน่ใจว่าการประชุม Zoom และข้อมูลเกี่ยวกับผู้ใช้ Zoom ได้รับการปกป้อง
จากการวิจัยของแซกเซนาและทีมของเขา แนวทางนี้อาจมีแนวโน้มที่จะเกิดข้อผิดพลาดจากมนุษย์ หากมีคนไม่ใส่ใจและยอมรับรหัสที่ไม่ตรงกันหรือข้ามขั้นตอนโดยไม่ได้ตั้งใจ
นอกจากนี้ ผู้จัดการประชุมและผู้เข้าร่วมต้องแน่ใจว่าได้เปิดใช้งานการเข้ารหัสตั้งแต่ต้นทางถึงปลายทางก่อนเริ่มการประชุม เนื่องจากไม่ได้เปิดไว้โดยค่าเริ่มต้น การวิจัยของ Saxena ยังพบว่าประเภทของรหัสตัวเลขที่ Zoom ใช้อยู่อาจมีแนวโน้มที่จะถูกโจมตีบางประเภทเช่นกัน
ดังนั้น ผู้ใช้ Zoom รู้สึกโล่งใจที่แพลตฟอร์มได้จัดการปัญหาด้านความปลอดภัยหลักที่หยิบยกขึ้นมาจากการร้องเรียนของ FTC แล้ว และตอนนี้ได้เสนอขั้นตอนแรกของการเข้ารหัสแบบ end-to-endอย่างไรก็ตาม ผู้เข้าร่วมการประชุมควรทราบว่าการใช้โหมดการเข้ารหัสแบบ end-to-end ใหม่อย่างถูกต้องจำเป็นต้องให้ความสนใจเป็นพิเศษเมื่อถึงเวลาสำหรับกระบวนการตรวจสอบรหัสเมื่อเริ่มต้นการโทร
