Үндсэн санаанууд
- АНУ-ын Холбооны Худалдааны Комисс 11-р сарын 9-нд Zoom-той тохиролцож, аюулгүй байдлын талаар хэрэглэгчдийг төөрөгдүүлсэн гэж мэдэгдлээ.
- Төлбөр тооцоо нь Zoom-оос "аюулгүй байдлын цогц хөтөлбөр"-ийг хэрэгжүүлэхийг шаарддаг.
- Zoom аль хэдийн асуудлыг шийдвэрлэсэн гэж мэдэгдсэн бөгөөд төгсгөлийн шифрлэлт нэвтрүүлэхээ саяхан зарлалаа.
Алдартай хурлын платформ Zoom нь аюулгүй байдлынхаа түвшингийн талаар хэрэглэгчдийг төөрөгдүүлсэн гэсэн агентлагийн мэдэгдлийн дагуу АНУ-ын Холбооны Худалдааны Комисс (FTC)-тай тохиролцсоны дагуу аюулгүй байдлын арга барилаа сайжруулж байна.
Zoom нь хэдхэн сарын дотор алдартай болсон бөгөөд тахлын улмаас биечлэн уулзахыг эрс хязгаарлаж байгаа тул дэлхий ертөнц видео хурлын платформ руугаа шилжсэн. Гэсэн хэдий ч FTC-ийн гомдолд Zoom "хэрэглэгчдийнхээ аюулгүй байдлыг алдагдуулсан хэд хэдэн хууран мэхлэлт, шударга бус үйлдэл хийсэн" гэж мэдэгджээ.
Энэ нь энэ оны эхээр аюулгүй байдлын мэргэжилтнүүдийн хийсэн шалгалтын дагуу платформ нь маркетингийн мэдэгдлийг үл харгалзан төгсгөлөөс төгсгөл хүртэл шифрлэлтийг ашигладаггүй болохыг олж мэдсэн. Zoom нь алдар нэрээ өсөх явцад бусад аюулгүй байдлын асуудлуудыг олж харсан, тухайлбал хүсээгүй оролцогчид "zoombombing" гэж нэрлэгддэг практикт цуглааныг сүйрүүлдэг. FTC төлбөр тооцооны нэг хэсэг болгон Zoom нь "аюулгүй байдлын цогц хөтөлбөр" хэрэгжүүлэх үүрэг хүлээсэн.
"Цар тахлын үед бараг бүх гэр бүл, сургууль, нийгмийн бүлгүүд, бизнесүүд хоорондоо харилцахдаа видео хурал ашиглаж байгаа нь эдгээр платформуудын аюулгүй байдлыг урьд өмнөхөөсөө илүү чухал болгож байна" гэж FTC-ийн Хэрэглэгчийн товчооны захирал Эндрю Смит хэлэв. Хамгаалалтын агентлагийн хэвлэлийн мэдээнд дурдсан байна.
"Zoom-ийн аюулгүй байдлын арга хэмжээ нь түүний амлалтад нийцээгүй бөгөөд энэ үйлдэл нь Zoom-ийн уулзалтууд болон Zoom хэрэглэгчдийн мэдээллийг хамгаалахад тусална."
Засгийн газрын хяналт
FTC гомдолд Zoom нь аюулгүй байдалтай холбоотой хэд хэдэн асуудлын талаар хэрэглэгчдээ төөрөгдүүлсэн гэж үзэж байгаа бөгөөд хамгийн чухал нь төгсгөл хоорондын шифрлэлтийн талаарх нэхэмжлэлтэй холбоотой юм.
Zoom нь 2016 оноос хойш Zoom дуудлагын төгсгөл хүртэлх 256 битийн шифрлэлтийг санал болгож байгаа гэж мэдэгдэж байсан ч үнэхээр доогуур түвшний аюулгүй байдлыг хангасан. Төгсгөл хоорондын шифрлэлтийг идэвхжүүлсэн үед Zoom, засгийн газар эсвэл өөр аль нэг тал биш, зөвхөн дуудлага эсвэл чатын оролцогчид солилцсон мэдээлэлд хандах боломжтой.
Үүнээс гадна Zoom нь зарим хэрэглэгчиддээ нэн даруй шифрлэгдэх болно гэж мэдэгдсэн үед 60 хүртэл хоногийн турш шифрлэгдээгүй бичлэг хийсэн, сервер дээрээ хадгалсан гэж гомдол гаргасан.
Өөр нэг асуудал нь ZoomOpener нэртэй Mac программ хангамжтай холбоотой бөгөөд энэ нь Zoom-г устгасан ч хэрэглэгчдийн компьютер дээр үлдэж, хакеруудад өртөмтгий болгож болзошгүй юм. "Энэ программ хангамж нь Safari хөтчийн аюулгүй байдлын тохиргоог алгасч, хэрэглэгчдийг эрсдэлд оруулсан. Жишээлбэл, танихгүй хүмүүст компьютерийнхээ вэб камераар дамжуулан хэрэглэгчдийг тагнах боломжийг олгосон" гэж FTC-ийн Хэрэглэгчийн боловсролын мэргэжилтэн Алваро Пуйг блогтоо тайлбарлав.
Томруулахын хариу
Zoom саяхан FTC-ийн гомдлыг барагдуулсан ч тус компани Lifewire-д энэ асуудлыг "аль хэдийн шийдвэрлэсэн" гэж имэйлээр мэдэгдэв.
"Манай хэрэглэгчдийн аюулгүй байдал нь Zoom-ийн нэн тэргүүний асуудал юм" гэж компанийн төлөөлөгч Lifewire-д имэйлээр мэдэгдэв. Zoom нь FTC-ийн нэхэмжлэлд хариу өгөх хэд хэдэн арга хэмжээ авсан бөгөөд үүнд хувийн нууцлал, аюулгүй байдалтай холбоотой 100 гаруй функцийг өгсөн 90 хоногийн төлөвлөгөөг дөрөвдүгээр сард эхлүүлсэн.
Zoom нь Keybase нэртэй компанийг 5-р сарын сүүлээр худалдан авснаар боломжтой болсон төгсгөл хоорондын шифрлэлтийг 10-р сарын сүүлээр нэвтрүүлсэн. Төгсгөл хоорондын шифрлэлт нь Zoom-ийн "техникийн урьдчилан харах" горимд байгаа бөгөөд компани Zoom-ийн серверүүд шифрлэлтийн түлхүүрүүдэд хандах эрхгүй гэж мэдэгджээ. Одоогийн байдлаар зарим онцлогийг төгсгөлийн шифрлэлтийн горимд хязгаарласан байгаа бөгөөд үүнд хөтлөгчөөс өмнө уулзалтад нэгдэх болон завсарлагааны өрөө зэрэг багтана.
Zom-н төгсгөл хүртэлх шифрлэлтийг хэрхэн ашиглах вэ
Бирмингемийн Алабамагийн Их Сургуулийн компьютерийн шинжлэх ухааны профессор Нитеш Саксена Zoom-ийн жинхэнэ төгсгөлөөс төгсгөл хүртэл шифрлэлтийн системийг нэвтрүүлэх хүчин чармайлт нь "зөв чиглэлд хийсэн алхам" гэж хэлсэн ч хийх ажил байсаар байгааг тэмдэглэв.
"Энэ нь Zoom дуудлагаас хэрэглэгчдийн шаардаж болох аюулгүй байдлын түвшинг үнэхээр хангахаас өмнө шийдвэрлэх шаардлагатай чухал асуудлууд байна" гэж тэр хэлэв.
Zoom-ийн аюулгүй байдлын талаар сайтар судалсан Саксена хэлэхдээ, түүний төгсгөл хоорондын шифрлэлтийн аргын аюулгүй байдал нь эцсийн дүндээ уулзалтад оролцогчдын криптограф түлхүүрийг баталгаажуулах үйл явцаас хамаардаг (чагнасан хүмүүсийг дуудлагад оруулахгүй байх гол алхам)).
Энэ тохиолдолд хэрэглэгчид уулзалт эхлэхийн өмнө өөрсдөө үүнийг шалгана. Zoom-ийн төгсгөл хоорондын шифрлэлтийн протоколын эхний үе шатанд уулзалт зохион байгуулагч 39 оронтой кодыг уншдаг бөгөөд бусад нь дэлгэцэн дээрээ шалгах ёстой.
Zoom-ийн аюулгүй байдлын арга хэмжээ нь түүний амлалтад нийцээгүй бөгөөд энэ үйлдэл нь Zoom-ийн уулзалтууд болон Zoom хэрэглэгчдийн мэдээллийг хамгаалахад тусална.
Саксена болон түүний багийнхны хийсэн судалгаагаар, хэрэв хэн нэгэн анхаарал хандуулалгүй, таарахгүй кодыг санамсаргүйгээр хүлээн авбал энэ арга нь хүний алдаа гарах магадлалтай.
Мөн уулзалтыг зохион байгуулагчид болон оролцогчид хурал эхлэхийн өмнө төгсгөл хоорондын шифрлэлтийг идэвхжүүлсэн эсэхээ шалгах ёстой, учир нь энэ нь анхдагчаар асаагүй байна. Saxena-ийн судалгаагаар Zoom-ийн ашиглаж буй тоон кодын төрлүүд ч тодорхой төрлийн халдлагад өртөмтгий болохыг тогтоожээ.
Тиймээс Zoom-ийн хэрэглэгчид платформ нь FTC-ийн гомдлоос үүдэлтэй аюулгүй байдлын гол асуудлуудыг аль хэдийн шийдвэрлэсэн бөгөөд одоо төгсгөлөөс төгсгөл хүртэл шифрлэлтийн эхний үе шатыг санал болгож байгаа тул тайвшрах болно. Гэсэн хэдий ч, чуулганд оролцогчид шинэ төгсгөл хоорондын шифрлэлтийн горимыг зөв ашиглах нь дуудлагын эхэнд код баталгаажуулах үйл явцад онцгой анхаарал хандуулах шаардлагатай гэдгийг мэдэж байх ёстой.
