De Taiwanese overheid verbiedt haar ambtenaren de videodienst Zoom te gebruiken. De regering in Taipei vindt deze populaire dienst voor teleconferentie veel te onveilig. Hackers kunnen de conversaties gemakkelijk afluisteren. Ook bestaat het risico dat ze de pc's van deelnemers overnemen.
De overheid van Taiwan sluit zich met haar verbod aan op een toenemend aantal organisaties dat Zoom in de ban doet. Ook de stad New York en SpaceX zijn de vele beveiligingsmissers zat. De afgelopen tijd is het ene privacylek na het andere aan het licht gekomen.
Citizenlab, een denktank verbonden aan de Universiteit van Toronto, vindt Zoom ongeschikt voor alles wat maar enigszins vertrouwelijk van aard is. Onlangs onthulden de Canadezen dat de versleuteling van Zoom behoorlijk zwak in elkaar steekt. Ook is er volgens Citizenlab veel mis met Zoom’s infrastructuur. Alle deelnemers gebruiken dezelfde sleutel. Die wordt vaak gedeeld met een server in China. Ook als alle deelnemers aan een Zoom-meeting zich buiten China bevinden, gaat verkeer soms via Chinese servers.
Volgens Citizenlab doet Zoom alsof het een overwegend Amerikaans bedrijf is uit Silicon Valley. Maar de ontwikkeling wordt grotendeels in China gedaan, wat Zoom kwetsbaar maakt voor druk vanuit de Chinese autoriteiten. Zoom werkt met drie grote bedrijven in China waar 700 onderzoekers de app verder ontwikkelen. Het hart van het bedrijf zit gewoon in China, is de indruk van Citizenlab.
Verder blijkt de geclaimde AES-256 beveiliging van het type AES-128 te zijn. Dat is niet zo erg. Citizenlab vindt het een bezwaar dat AES door alle deelnemers aan een videovergadering in ECB-mode wordt gebruikt. Dat gebruik wordt afgeraden omdat de patronen in de platte tekst na de versleuteling herkenbaar blijven.
Tips
De problemen rond Zoom vormen voor de Amerikaanse burgerrechtenbeweging EFF aanleiding om tips te geven waarmee organisaties hun Zoom-meetings kunnen beveiligen. Gebruikers wordt aangeraden hun Zoom-privacyinstellingen te verbeteren. Belangrijk is het tegengaan van Zoom-bombing waarbij personen inbreken op Zoom-meetings om die te verstoren.
Het advies is de Chat Auto-Saving, waarmee automatisch alle chatgesprekken worden opgeslagen, uit te schakelen. Eveneens afgeraden wordt de ‘Attention Tracking’. Deze optie laat de host zien of deelnemers het Zoom-venster tijdens screen sharing in focus hebben. Een andere tip is het meeting-ID van de Zoom-meeting privé te houden en een wachtwoord in te stellen. Verder moet alleen de host zijn scherm kunnen delen. Wanneer alle deelnemers aanwezig zijn adviseert de EFF om de meeting te locken, zodat er geen andere personen meer kunnen deelnemen.
Onlangs onthulde de Washington Post dat videogesprekken die met de videodienst Zoom zijn gemaakt en zijn opgenomen, gemakkelijk door iedereen zijn te vinden op internet. Veel videogesprekken worden zonder toestemming daarvoor onbeveiligd op internet opgeslagen. Zoom geeft die bestanden altijd een naam die op dezelfde manier is opgebouwd. Daardoor zijn bestandsnamen makkelijk te raden en de bestanden eenvoudig te vinden.
Snel populair
De videodienst is in korte tijd populair geworden. Vooral de vele thuiswerkers gebruiken Zoom om met hun bedrijf en klanten contact te houden. Die verhoogde belangstelling leverde ook meer aandacht op voor de manier waarop het bedrijf met gebruikersgegevens omspringt. Zo bleek de app van Zoom gegevens naar Facebook te sturen, zelfs als de gebruiker geen account heeft bij Facebook.
Ook bleek het bedrijf de e-mailadressen van andere gebruikers te tonen. Zoom kan namelijk geen onderscheid maken tussen adressen van internetproviders als het Nederlandse Xs4all en e-mailadressen van mensen die bij hetzelfde bedrijf werken.