Zoom is een Echternach processie: drie stappen vooruit en twee achteruit
Het kon bijna niet uitblijven. De Amerikaanse Federal Trade Commission (FTC) is voornemens een officiële aanklacht tegen Zoom te formuleren. De oorzaak is dat Zoom volgens de FTC al sinds 2016 zijn gebruikers met een kluitje het riet in stuurt als het om hun veiligheid en privacy gaat. Al sinds 2016 heeft Zoom beweerd gebruikers te beschermen met een zogeheten end-to-end 256-bit encryptie.
Dec Wed 16 2020Ondanks herhaalde toezeggingen van het tegendeel hield Zoom de cryptographic keys in eigen hand. Op die manier behield Zoom de mogelijkheid om toegang te krijgen tot de content van vergaderingen van klanten. Dat betekende weer wel minder veiligheid voor die vergaderingen.
De opsommingen van gebroken beloftes klinken deprimerend bekend in de oren. In de HIPAA-compliance richtlijnen juni 2016 en juli 2017 claimde Zoom dat het end-to-end encryptie toepaste voor de gezondheidszorg. Nog in januari 2019 beweerde Zoom in een white paper dat het end-to-end encryptie voor alle gebruikers en kanten toepaste.
Die claims waren meer gedeeltelijk waar en betroffen alleen bezoekers die gebruik maakten van Zoom Connecter. Voor gebruikers die dat niet deden gold een lager niveau van encryptie. Daaraan gekoppeld waren de gevaren zoals hierboven beschreven. De FTC beschuldigt Zoom er eveneens van slordig om te gaan met de content die gebruikers op willen slaan in The Cloud van Zoom. Dat gebeurde herhaaldelijk pas na 60 dagen. In de tussentijd lagen die data onbeschermd in de servers van het bedrijf.
De FTC gaat in eerste instantie proberen een regeling te treffen met het sociale platform. Er moet een breed opgezet veiligheidsprogramma opgezet worden om de veiligheid en privacy van de gebruikers veilig te stellen en te garanderen. De Democraten in de commissie, de minderheid, voelen niet zoveel voor deze regeling omdat de misleide gebruiker niet financieel gecompenseerd wordt. Zoom hoeft niet eens de gebruikers op de hoogte stellen dat ze jarenlang bij de neus genomen zijn. Sterker nog, de regeling eist niet eens met zoveel woorden end-to-end encryptie. Wel moet het platform er bij zijn gebruikers op aandringen sterke en unieke passwords te gebruiken; moet het tools inzetten om non-human logins te blokkeren en moet het aantal loginpogingen beperkt worden om gewelddadige aanvallen te blokkeren. Overigens hebben een aantal beleggers en gebruikers wel een financiële claim bij Zoom neergelegd, omdat ze zich misleid en benadeeld voelen.
Passwords zijn allesbehalve veilig
Dat Zoom duidelijk in gebreke blijft als het om de veiligheid en privacy van zijn gebruikers gaat, moge duidelijk blijken uit de aanklachten. Toch spelen er ook veiligheidskwesties voor gebruikers van welk platform dan ook, waar een Zoom of Skype weinig aan kunnen doen. Dat blijkt uit een onderzoek van twee onderzoekers van de Universiteit van Texas. In een paper Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Interference Attacks. Komen ze tot de conclusie dat medestanders in bijvoorbeeld een Zoom meeting in staat zijn jouw password te raden. Dat kunnen ze doen aan de hand van de bewegingen van armen en schouders.
Iemand met boze bedoelingen moet de meeting opnemen met behulp van een high definition webcam. Vervolgens wordt er een softwareprogramma losgelaten op de opnames. Die verwijdert de achtergrond en concentreert zich op het gezicht. Dat wordt het ijkpunt, waaraan de bewegingen van armen en schouders gerelateerd worden. Is dat eenmaal gebeurd dan worden de bewegingen van armen en schouders geanalyseerd. Op die manier kan accuraat vastgesteld worden welke letters van het keyboard aangeslagen worden. Die uitkomsten worden vervolgens gekoppeld aan een lange lijst van woorden en veel voorkomende passwords. Als het behoort tot de 1 miljoen meest voorkomende passwords dan is de kans 75% dat het password eruit rolt. Is het e-mailadres van de gebruiker bekend, dan loopt de score op tot zelfs 90%.
Regelmatige gebruikers van Zoom, maar ook van Skype of Teams moeten zich er dus van bewust worden, dat ze in meerdere opzichten kwetsbaar zijn. Voor onvermoede snoodaards is er altijd wel wat te halen. Dat geldt zeker als het gaat om zakelijke gebruikers. Wat kun je ertegen doen? De aanbevelingen zijn gelukkig niet wereldschokkend. Draag lange mouwen en leg iets over je schouders. Leer met 10 vingers typen of gebruik een stoel die rijdt en beweegt. Daardoor gaat het hele lichaam bewegen! Je kun tenslotte ook het licht dimmen.
De achterliggende boodschap van de onderzoekers is, dat gebruikers van platforms zich meer bewust moeten worden van de risico's die ze lopen. De platforms zijn eufemistisch gezegd slordig als het om privacy en veiligheid gaat. De gebruiker is naïef als hij/zij denkt dat het allemaal wel meevalt.