Zoom is zwaar bekritiseerd vanwege zijn beveiligingsproblemen en nu heeft het bedrijf bevestigd dat gratis gebruikers geen end-to-end-codering zullen krijgen.
Update 1 (17-06-20 @ 13:55 ET): Zoom zal in juli end-to-end-encryptie voor gratis gebruikers introduceren
Het is geen geheim dat Zoom zijn moment in de schijnwerpers heeft. Hoewel de COVID-19-pandemie zwaar is geweest voor talloze bedrijven, apps voor videobellen hebben een toestroom van gebruikers gezien. In een paar maanden tijd is Zoom bijna synoniem geworden met videobellen. Al deze aandacht is echter niet tot stand gekomen zonder een behoorlijk deel van het onderzoek. Zoom is zwaar bekritiseerd vanwege zijn beveiligingspraktijken, en nu heeft het bedrijf bevestigd dat gratis gebruikers geen end-to-end-codering krijgen voor videogesprekken.
Vorige week was dat zo gemeld dat Zoom alleen voor betalende klanten sterkere encryptie zal toevoegen aan videogesprekken. Vandaag bevestigde Zoom-CEO Eric Yuan dit rapport en legt beveiligingsadviseur Alex Stamos het standpunt van het bedrijf uit. Kortom, Zoom wil misbruik kunnen stoppen en schade kunnen voorkomen door mensen die ‘Zoom voor slechte doeleinden gebruiken’.
Yaun zei dat Zoom ‘samen wil werken met de FBI en de lokale wetshandhaving’, wat een controversiële verklaring was. Stamos zegt echter de verklaring van Yaun was niet duidelijk en hij legde vervolgens de beslissing van het bedrijf verder uit. Hij zegt dat Zoom wordt geconfronteerd met een “moeilijke evenwichtsoefening” waarbij hij probeert de privacy te verbeteren en tegelijkertijd “de menselijke impact van het misbruik van zijn product te verminderen.”
Momenteel kan het Trust and Safety-team van Zoom zichtbaar een vergadering betreden en deze melden als er sprake is van misbruik. End-to-end-encryptie zou ervoor zorgen dat Zoom-medewerkers dat niet kunnen doen. Er zou ook geen achterdeur zijn om dit toe te staan, omdat dat het hele doel van E2E-encryptie zou ondermijnen. Stamos vertelt ook hoe een groot deel van de vergaderingen functies gebruikt die niet compatibel zijn met end-to-end-encryptie.
Het huidige systeem moet end-to-end-encryptie bieden aan zakelijke en zakelijke gebruikers, maar er is één belangrijk onderscheid. Organisaties die een bedrijfsabonnement hebben maar niet betalen, zoals scholen, krijgen ook end-to-end-encryptie voor videogesprekken. Stamos voegt eraan toe dat dit standpunt misbruik niet zal uitsluiten, maar wel de schade zal verminderen. Zoom heeft nog geen releasedatum gegeven voor de nieuwe encryptiefuncties.
Via: Engadget
Update: gratis gebruikers in juli
Zoom baseert zich op de aankondiging van eerder deze maand dat gratis gebruikers dat zouden doen niet end-to-end-encryptie verkrijgen. Gebruikers kunnen volgende maand end-to-end-encryptie inschakelen met een bètaversie en deze zal niet beperkt zijn tot betaalde ondernemingen. Het bedrijf kreeg veel kritiek vanwege de redenering achter het behouden van end-to-end-encryptie voor gratis gebruikers, dus het is leuk om te zien dat dit van koers verandert.
Een van de problemen die Zoom noemde, was het niet kunnen verifiëren van de identiteit van sommige gratis gebruikers. De oplossing die ze nu gebruiken, vraagt gebruikers die end-to-end-encryptie willen inschakelen om deel te nemen aan een eenmalig proces om hun identiteit, zoals een telefoonnummer, te verifiëren. Zoom gebruikt standaard AES 256 GCM-transportversleuteling.
De bèta wordt in juli gelanceerd en gebruikers kunnen E2EE inschakelen met een simpele schakelaar in de instellingen.
Bron: Zoom | Via: De rand