Bài học rút ra chính
- Ủy ban Thương mại Liên bang Hoa Kỳ đã thông báo vào ngày 9 tháng 11 rằng họ đã đạt được thỏa thuận với Zoom sau khi cáo buộc rằng nó đã đánh lừa người dùng về vấn đề bảo mật.
- Việc dàn xếp yêu cầu Zoom phải áp dụng "chương trình bảo mật toàn diện".
- Zoom cho biết họ đã giải quyết các vấn đề và gần đây đã thông báo sẽ giới thiệu mã hóa end-to-end.
Nền tảng hội nghị phổ biến Zoom đang tăng cường các phương pháp bảo mật như một phần của thỏa thuận với Ủy ban Thương mại Liên bang Hoa Kỳ (FTC), sau những cáo buộc của cơ quan rằng họ đã đánh lừa người dùng về mức độ bảo mật của mình.
Zoom đã trở thành một cái tên quen thuộc chỉ trong vài tháng, khi thế giới chuyển sang nền tảng hội nghị truyền hình do đại dịch hạn chế nghiêm trọng các cuộc họp trực tiếp. Tuy nhiên, một đơn khiếu nại của FTC cáo buộc rằng Zoom "đã thực hiện một loạt các hành vi lừa đảo và không công bằng làm suy yếu tính bảo mật của người dùng."
Điều này theo sau sự giám sát kỹ lưỡng từ các chuyên gia bảo mật vào đầu năm nay, những người phát hiện ra rằng nền tảng này không sử dụng mã hóa end-to-end bất chấp các tuyên bố tiếp thị. Zoom cũng đã thấy các vấn đề bảo mật khác trong quá trình ngày càng phổ biến của nó, chẳng hạn như những người tham gia không được hoan nghênh đã gây ra các cuộc họp trong một thực tế được gọi là "zoombing". Là một phần của thỏa thuận FTC, Zoom đã cam kết thực hiện một "chương trình bảo mật toàn diện".
"Trong thời kỳ đại dịch, thực tế là tất cả mọi người-gia đình, trường học, nhóm xã hội, doanh nghiệp-đang sử dụng hội nghị truyền hình để giao tiếp, làm cho bảo mật của các nền tảng này trở nên quan trọng hơn bao giờ hết", Andrew Smith, giám đốc Cục Người tiêu dùng của FTC Bảo vệ cho biết trong thông cáo báo chí của cơ quan.
"Các phương pháp bảo mật của Zoom không phù hợp với lời hứa và hành động này sẽ giúp đảm bảo rằng các cuộc họp và dữ liệu về người dùng Zoom của Zoom được bảo vệ."
Sự giám sát của Chính phủ
Đơn khiếu nại của FTC cáo buộc rằng Zoom đã đánh lừa người dùng về một số vấn đề liên quan đến bảo mật, vấn đề quan trọng nhất liên quan đến các tuyên bố được đưa ra về mã hóa end-to-end.
Nó nói rằng Zoom đã tuyên bố cung cấp mã hóa đầu cuối, 256-bit cho các cuộc gọi Zoom từ năm 2016, nhưng thực sự cung cấp mức độ bảo mật thấp hơn. Khi mã hóa đầu cuối được bật, chỉ những người tham gia cuộc gọi hoặc trò chuyện mới có quyền truy cập vào thông tin được trao đổi chứ không phải Zoom, chính phủ hay bất kỳ bên nào khác.
Ngoài ra, đơn khiếu nại cáo buộc rằng Zoom đã lưu trữ các cuộc họp được ghi lại, không được mã hóa trên máy chủ của mình trong tối đa 60 ngày khi nó nói với một số người dùng rằng họ sẽ được mã hóa ngay lập tức.
Một vấn đề khác liên quan đến phần mềm Mac có tên là ZoomOpener, phần mềm này vẫn ở trên máy tính của người dùng ngay cả khi xóa Zoom và có thể khiến chúng dễ bị tin tặc tấn công. "Phần mềm này đã vượt qua cài đặt bảo mật của trình duyệt Safari và khiến người dùng gặp rủi ro, chẳng hạn như nó có thể cho phép người lạ theo dõi người dùng thông qua camera trên máy tính của họ", Chuyên gia Giáo dục Người tiêu dùng FTC, Alvaro Puig, giải thích trong một bài đăng trên blog.
Phản hồi của Zoom
Trong khi Zoom chỉ mới giải quyết khiếu nại FTC gần đây, công ty đã nói với Lifewire trong một email rằng họ đã "giải quyết" các vấn đề.
"Bảo mật của người dùng của chúng tôi là ưu tiên hàng đầu của Zoom", người phát ngôn của công ty nói với Lifewire trong một email. Zoom đã thực hiện một số bước để phản hồi các cáo buộc của FTC, bao gồm việc ra mắt kế hoạch 90 ngày vào tháng 4, mang lại hơn 100 tính năng liên quan đến quyền riêng tư và bảo mật.
Zoom đã giới thiệu mã hóa end-to-end vào cuối tháng 10, được thực hiện bằng việc mua lại công ty Keybase vào tháng 5. Mã hóa đầu cuối vẫn ở chế độ mà Zoom gọi là chế độ "xem trước kỹ thuật" và công ty nói rằng máy chủ của Zoom không có quyền truy cập vào các khóa mã hóa. Hiện tại, một số tính năng bị hạn chế trong chế độ mã hóa end-to-end, bao gồm khả năng tham gia cuộc họp trước người dẫn chương trình và các phòng đột xuất.
Cách sử dụng mã hóa đầu cuối của Zoom
Giáo sư khoa học máy tính Nitesh Saxena của Đại học Alabama tại Birmingham nói rằng những nỗ lực của Zoom nhằm triển khai một hệ thống mã hóa end-to-end thực sự là một "bước đi đúng hướng", nhưng lưu ý rằng vẫn còn nhiều việc phải làm.
"Có những vấn đề quan trọng cần được giải quyết trước khi điều này thực sự có thể cung cấp mức độ bảo mật mà người dùng có thể yêu cầu từ các cuộc gọi Zoom", anh ấy nói.
Saxena, người đã nghiên cứu sâu rộng về bảo mật của Zoom, cho biết tính bảo mật của phương pháp mã hóa end-to-end của nó cuối cùng dựa vào quy trình được sử dụng để xác thực khóa mật mã của những người tham gia cuộc họp (một bước quan trọng để ngăn những kẻ nghe trộm không tham gia cuộc gọi).
Trong trường hợp này, người dùng tự kiểm tra điều này trước khi bắt đầu cuộc họp. Trong giai đoạn đầu tiên của Zoom về giao thức mã hóa end-to-end, người tổ chức cuộc họp đọc mã gồm 39 chữ số mà những người khác phải kiểm tra trên màn hình của họ.
Thực tiễn bảo mật của Zoom không phù hợp với lời hứa và hành động này sẽ giúp đảm bảo rằng các cuộc họp và dữ liệu về người dùng Zoom của Zoom được bảo vệ.
Theo nghiên cứu của Saxena và nhóm của ông, cách tiếp cận này có thể dễ xảy ra lỗi do con người nếu ai đó không chú ý và vô tình chấp nhận mã không khớp hoặc bỏ qua hoàn toàn quy trình.
Ngoài ra, người tổ chức cuộc họp và người tham gia phải đảm bảo rằng họ bật mã hóa đầu cuối trước khi bắt đầu cuộc họp, vì tính năng này không được bật theo mặc định. Nghiên cứu của Saxena cũng cho thấy rằng các loại mã số mà Zoom đang sử dụng cũng có thể dễ bị một loại tấn công nhất định.
Vì vậy, người dùng Zoom có thể cảm thấy nhẹ nhõm khi nền tảng đã giải quyết các vấn đề bảo mật chính do đơn khiếu nại của FTC nêu ra và hiện cung cấp giai đoạn đầu tiên của mã hóa end-to-end. Tuy nhiên, những người tham gia hội nghị nên lưu ý rằng việc sử dụng đúng chế độ mã hóa end-to-end mới đòi hỏi phải chú ý nhiều hơn khi đến lúc quy trình xác thực mã khi bắt đầu cuộc gọi.
