Zoom ljuger om säkerheten

Uppdatering 2020-04-02: Zoom har publicerat ett blogginlägg där de ber om ursäkt och förtydligar hur krypteringen fungerar.

Mötestjänsten Zoom har seglat upp som ett av de populäraste alternativen för att hålla kontakt med kollegor och anordna webbinarier. På den officiella webbplatsen stoltserar Zoom med att de stödjer end-to-end-kryptering. Det är samma princip som vår rekommenderade chattapp Signal använder. Med end-to-end-kryptering krypteras datan innan den lämnar avsändarens enhet och den dekrypteras inte förrän den har nått fram till mottagarens enhet. Detta innebär att ingen mellanliggande server kan avlyssna eller inspektera trafiken. Servern som sköter kommunikationen kan enbart se mängden data som överförs.

Problemet med Zooms påstående om end-to-end-kryptering är att det inte är sant. Igår avslöjade The Intercept att Zoom bara använder helt vanlig transportkryptering, det vill säga krypterade anslutningar mellan Zooms servrar och deltagarnas enheter. En talesperson hos Zoom bekräftar att så är fallet. Enligt The Intercept gäller end-to-end-krypteringen endast textmeddelanden (!) och inte själva videon och ljudet.

Zooms webbsida om säkerheten
Zoom hävdar felaktigt att de erbjuder end-to-end-kryptering.

Fem incidenter på en enda vecka

Det är långt ifrån första gången som Zoom hamnar i blåsväder. I fjol rapporterade vi om hur deras Mac OS-klient betedde sig som ett skadeprogram och hur illa Zoom hanterade situationen. Bara under den gångna veckan har också följande problem uppmärksammats hos Zoom (utöver lögnen om end-to-end-kryptering).

  • Zoom delar data med Facebook utan att användarna vet om det (Motherboard).
  • Zoom läcker persondata till användare som har e-postadresser på samma domän (Motherboard).
  • Zooms Mac OS-installationsprogram agerar som ett skadeprogram (Apple Insider).
  • Zooms Windows-klient kan läcka krypterade inloggningsuppgifter (Bleeping Computer).

Uttrycklig avrådan från Zooms tjänster

Lögnen om end-to-end-kryptering är i sig skäl nog för oss att nu uttryckligen avråda från användning av Zooms tjänster. Välj med fördel andra alternativ. Om du måste ansluta till någon annans Zoom-möte bör du inte installera Zoom-applikationen på din dator utan istället använda Zooms webbläsarklient.

Avrådan från Zoom ges inte för att Zoom bara använder transportkryptering, utan på grund av bolagets oseriösa agerande. Faktum är att de flesta mötesverktyg förlitar sig på bara transportkryptering, däribland Microsoft Teams och Google Hangouts. Apples lösning tillhör ett av fåtal undantag då de har lyckats lösa end-to-end-kryptering för Facetime-grupper.

Group FaceTime extends FaceTime to support up to 33 concurrent participants. As with classic one-to-one FaceTime, calls are end-to-end encrypted among the invited participantsʼ devices.

Apple Platform Security Fall 2019

Den öppna mötestjänsten Jitsi stödjer visserligen inte end-to-end-kryptering, men den kan ändå vara ett lämpligt alternativ. Organisationer som behöver hög säkerhet kan drifta sin egen Jitsi-server, vilket gör att navet där trafiken dekrypteras förblir inom organisationens kontroll. Denna modell gör att traditionell transportkryptering räcker för att ändå göra det tekniskt omöjligt för utomstående att komma åt informationen som skickas.

Tips! Om du vill testa Jitsi redan idag kan du använda den publika Jitsi-servern som 8×8 sponsrar världen med. Den är helt kostnadsfri att använda och fungerar direkt i alla moderna datorwebbläsare. Jitsi har tillika kostnadsfria appar för Android och Iphone.

Vår rekommenderade chattapp Signal kan vara ett lämpligt alternativ ibland. Den stödjer end-to-end-krypterade videosamtal men än så länge enbart mellan två parter och bara med mobilversionen. Förhoppningsvis blir det ändring på detta. Moxie Marlinspike, huvudhjärnan bakom Signal, har twittrat att det väldigt snart kommer stöd för både gruppröstsamtal och röstsamtal från datorn. Vi håller tummarna för att det även omfattar video.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.