美国联邦贸易委员会曝光Zoom就端到端加密问题已欺骗用户多年

 

事件报道

根据国外社交媒体的最新报道,视频会议软件公司Zoom已就侵犯隐私问题与美国联邦贸易委员会(FTC)达成和解。与其说是和解,不如说是双方达成了一项临时协议,即Zoom已同意升级其安全保护措施。Zoom将制定一项全面的安全计划,以解决该公司涉嫌欺诈和不公平行为的指控。

众所周知,今年各行各业受新冠疫情的严重影响,线上业务一直在蓬勃发展,而视频会议的需求量也大大增加,其中最大的受益者就包括视频会议软件公司Zoom了。但是,美国联邦贸易委员会(FTC)近期曝光了Zoom就端到端加密问题已欺骗用户多年的情况。

就在这两天刚刚宣布的针对Zoom的投诉以及临时和解公告中,美国联邦贸易委员会(FTC)表示:“至少从2016年开始,Zoom就一直在吹捧自己的产品使用了“端到端256位加密”来保护用户的通信安全。但实际上,他们提供的仅仅只是较低级别的安全加密,从而误导了用户,是广大用户的通信信息暴露在了安全风险之下。Zoom自己保存了用于通信加密的加密密钥,这样一来Zoom自己就可以访问其客户的视频会议内容了,而这与他们所承诺或的安全等级来说相差甚远。”

美国联邦贸易委员会(FTC)的投诉称,Zoom在其2016年6月份和2017年7月份的HIPAA合规性指南中声称其提供了端到端加密,而该指南主要是为需要视频会议服务的医疗保健行业用户所提供的。美国联邦贸易委员会(FTC)表示,Zoom还在2019年1月份的白皮书以及2017年4月份的一篇博客文章中声称(直接回应客户与潜在客户之间的询问),他们在视频会议服务中提供的就是端到端加密。

美国联邦贸易委员会(FTC)认为:“实际上,Zoom并没有为任何在Zoom的“Connecter”产品之外任何的Zoom Meeting服务提供端到端加密,而Zoom的“Connecter”产品是托管在客户自己的服务器上的,但Zoom自己的服务器(包含某些位于我国境内的服务器)仍然保存着通信加密密钥,这将允许Zoom访问其客户使用Zoom Meetings服务时所发生的全部通信内容。”

美国联邦贸易委员会(FTC)在其声明中说到,Zoom还误导了一些希望将望将录制的会议存储在公司云存储中的用户,他们错误地声称会议结束后立即加密了这些会议的内容,但实际上,某些会议记录在结束后的六十天内都没有进行加密存储,而是直接将视频会议的内容以“明文”的形式转存到了他们的安全云存储中。

为了解决这个问题,Zoom也已经同意建立和实施全面安全计划的要求,即解决此前的隐私以及安全虚假陈述,并保护用户群的其他详细数据。为此,Zoom已经制定了详细具体的补救措施,其中将覆盖新冠疫情期间,即2019年12月份至2020年4月份的1亿至30亿视频会议实体信息,而这个数字指的是这段时间内Zoom Meetings服务的每天使用人数。

 

受影响的用户将不会得到任何补偿

Zoom公司所制定的解决方案目前已经得到了美国联邦贸易委员会(FTC)中共和党多数派的支持,但美国联邦贸易委员会(FTC)中的民主党人士则表示反对,因为这份解决方案并没有提及针对受影响用户的补偿措施。

美国联邦贸易委员会(FTC)的民主专员罗希特·乔普拉(Rohit Chopra)表示:“就在今天,美国联邦贸易委员会(FTC)已投票决定与Zoom达成和解,这项和解协议其实非常的不公平,因此和解协议中的内容对已经受此影响的用户来说并没有任何实质性的帮助,它对依赖Zoom的数据保护声明的小型企业没有任何帮助,而且Zoom也没有为他们提供一分钱的补偿,因此这项和解协议我们并不赞同。”

根据双方所达成的和解协议,Zoom无需向受影响用户通过任何的经济赔偿,其中涉及到的退款以及通知用户有关其服务安全问题的重大主张其实都是形同虚设的。美国联邦贸易委员会(FTC)的民主专员丽贝卡·凯利·斯劳特(Rebecca Kelly Slaughter)表示:“这项和解协议对Zoom现有的客户非常不利,并且大大限制了此次事件对于社区的威慑价值。尽管这项和解协议规定了Zoom在安全性方面的义务,但它并没有包含直接保护用户隐私的要求。”

目前,Zoom面临着投资者和消费者的各项单独诉讼,不过最终可能只能通过金钱赔偿才能和解了。

Zoom和美国联邦贸易委员会(FTC)之间所达成的和解实际上并没有强制要求Zoom实现端到端加密,但是Zoom在上个月才刚刚宣布他们将在技术预览版的产品中推出端到端加密,以获取用户的直接反馈。

根据和解方案和最终制定的缓解措施,Zoom需要采取的措施如下:

(1)要求用户使用强壮的、唯一的密码来保护帐户的安全;
(2)使用自动化工具来识别非人工的登录尝试;
(3)限速登录尝试以最大程度地降低暴力破解攻击的风险;
(4)为已知的受感染的用户凭据实施密码重置;

 

FTC认为ZoomOpener无异于流氓软件

美国联邦贸易委员会(FTC)的投诉还涉及到Zoom的极具争议的ZoomOpener Web服务器部署,他们表示,该服务器会绕过macOS计算机上的Apple安全协议,并且在2018年7月份针对macOS版Zoom的更新过程中悄悄地在用户的设备上安装了这一服务器组件。

美国联邦贸易委员会(FTC)表示:“在没有ZoomOpener Web服务器的情况下,Safari浏览器在启动Zoom应用程序之前会向用户弹出一个警告框,询问用户是否要启动该应用程序。苹果在Safari浏览器中部署了各项安全保护措施以防止其用户受到常见类型恶意软件的影响,但ZoomOpener Web服务器绕过了苹果在Safari中的这些安全措施,让Zoom能够自动启动用户端程序并将其加入会议之中。”

美国联邦贸易委员会(FTC)认为,这个应用程序组件将增加用户受到攻击者远程视频监视的风险,而且即使他们卸载了Zoom应用程序之后,这个服务器组件仍然会保留在用户的计算机中,而且在某些情况下它还会自动重新安装Zoom应用程序。更重要的是,这整个过程完全不需要用户交互,这简直是流氓软件实锤了。为此,美国联邦贸易委员会(FTC)指控Zoom在未经适当通知或用户同意的情况下部署软件,违反了美国法律禁止不公平和欺骗性商业行为的规定。

正如我们当时报道的那样,在2019年7月的争议中,Zoom发布了一个更新程序,以从其macOS应用程序中完全删除ZoomOpener Web服务器组件。

 

Zoom已同意了安全监控条例

拟议的和解方案将在30天内征询公众意见,然后美国联邦贸易委员会(FTC)会将就是否敲定为最终解决方案进行投票表决。一旦和解在《联邦公报》上发布,为期30天的意见征询期将开始。

有关此次事件的全部相关文件可以点击下列地址获取:

https://www.ftc.gov/enforcement/cases-proceedings/192-3167/zoom-video-communications-inc-matter-0

美国联邦贸易委员会(FTC)宣布,Zoom目前已同意采取下列措施:

每年评估和记录任何潜在的内部和外部安全风险,并开发出防范此类风险的技术方法以及措施;

部署漏洞管理程序;

部署安全保护措施,其中包括多因素身份验证,以防止任何未经授权的网络访问;建立数据删除控制措施;

采取措施以防止使用已知的用户凭据发生泄露;

和解条例中的数据删除相关规定要求Zoom在31天内删除所有确定要删除的数据副本。

根据和解条例,Zoom必须将任何数据泄露情况通知美国联邦贸易委员会(FTC),并禁止Zoom目前正在实施的客户隐私管理办法,其中包括数据收集和使用、用户个人信息的维护和披露,以及用户控制其个人安全隐私信息的方法和其他安全功能。Zoom必须立刻检查所有软件更新是否存在安全漏洞,并确保更新不会妨碍第三方安全功能。一旦达成和解协议,该公司还将必须获得其安全计划交予第三方进行评估,此后每两年要进行一次,并且必须持续进行二十年。

Zoom就此次和解还发表了下列声明:

用户的安全是Zoom的重中之重,我们非常重视用户对我们的信任,特别是因为他们依靠我们来保持他们在这场史无前例的全球危机中与他人联系。与此同时,我们也在不断改进我们的安全和隐私计划。我们为平台的进步而感到自豪,我们已经解决了FTC确认的问题。FTC的今天解决方案符合我们在提供安全视频通信体验的同事对创新和增强产品的承诺。

(完)