NHTV: Hur osäkert är Zoom egentligen?

4

Zoom har kommit ut som den stora vinnaren men har också fått en flodvåg av kritik över sig. Bland annat för bristande säkerhet. Så? Vad är det som gör Zoom så osäkert och vilka alternativ är egentligen säkra?

Zoom har använts av företag, organisationer och privatpersoner i många år. Tjänsten har bland annat varit populär bland företag som har möjlighet att använda tjänsten med sitt eget varumärke ovanpå. Zoom har fått uppmärksamhet från användare men även kritiker under de senaste veckorna på grund av sin popularitet. Tjänsten har trots allt gått från 10 miljoner användare till 200 miljoner på tre månader. Att tjänsten inte har haft större kvalitets- och kapacitetsproblem är faktiskt beundransvärt.

Påstådd kryptering

Problemen med Zoom har varit många. Redan långt innan den senaste vågen av kritik har Zoom kritiserats för underliga beteenden som utsätter användare för risk. Förra sommaren blev Apple till exempel tvungen att skicka ut en säkerhetsuppdatering till Mac OS efter att Zoom vägrade fixa ett säkerhetsproblem i sin mjukvara som startade en lokal server i operativsystem och som fanns kvar även efter att Zooms mjukvara avinstallerades. Under de senaste veckorna har Zoom kritiserats för att ha använt skumma tekniker för att installera sin mjukvara i datorer, för att ha delat data med Facebook utan att informera kunder om det och för att ha påstått att samtal är krypterade från punkt till punkt, även när så inte alls är fallet.

Bild: 9to5Mac

Den sista kritiken är särskilt intressant. Zoom svarade på den genom att erkänna sitt misstag och förändra beskrivningarna av sin kryptering. Det är visserligen sant att vissa delar av Zoom kan krypteras helt mellan två parter. Videosamtal krypteras dock bara mellan Zooms server och en användare. Det betyder att Zoom i teorin har möjlighet att avlyssna samtalet. Det ska sägas att det inte finns något bevis för att så är fallet. Men det är definitivt en möjligt.

Finns bra förklaringar

Så kallad end-to-end-kryptering används av flera tjänster för att skapa en säker länk mellan två eller fler parter. Data skickas mellan användare utan att någon tredje part kan se innehållet. Det kan begränsa viss funktionalitet. Många onlinetjänster kan därför inte använda sådan typ av kryptering på ett praktiskt sätt. Google behöver till exempel tillgång till filer som lagras i Google Drive för att kunna öppna och redigera dem i Google Dokument. På samma sätt menar Zoom att deras tjänst har funktioner som hanteras av servern och som därför inte hade fungerat med kryptering från punkt till punkt. Det stämmer helt säkert och det är som sagt inte att tjänster dekrypterar data mellan två parter eller när den ska behandlas.

Frågan är då om punkt-till-pukt-kryptering verkligen är nödvändigt? För att vara krass är svaret sannolikt nej, för väldigt många. Det största säkerhetshotet för digital kommunikation kommer generellt från osäkra anslutningar. Den stora risken är då att Zoom skulle spionera på samtal eller låta någon annan spionera på dem från Zooms servrar. För väldigt kritisk kommunikation kan bristen på kryptering hela vägen till mottagaren vara en säkerhetsrisk. Från Myndigheten för samhällsskydd och beredskap säger Hedvig Kylberg till TT att det är direkt olämpligt att använda tjänster så som Zoom:

Citat: ”När man delar känslig, sekretessbelagd eller säkerhetsklassad information.”

MSB varnar om säkerhetsrisker med Zoom

Det borde kanske säga sig självt. Att det skulle vara farligt att använda Zoom för samtal mellan vänner eller i skolan finns det dock mindre belägg för. Där finns däremot andra problem. Under de senaste veckorna har den nya frasen Zoom Bombing myntats för att beskriva ett fenomen där oinbjudna tar sig in i videokonferenser.

Krypterade alternativ

Om man ändå vill ha en säkrare videotjänst. Vad kan man göra då? Det är inte helt enkelt. För vissa är Apple FaceTime ett bra alternativ. FaceTime har stöd för gruppsamtal med upp till 32 deltagare. FaceTime fungerar bara med Apple-prylar men är också den enda större konsumentriktade tjänsten som erbjuder komplett end-to-end-kryptering.

Wire och Jitsi har båda öppen källkod och är fullt krypterade. De kräver dock i praktiken att användaren sätter upp en egen server för att ha full kontroll över kommunikationen.

Denna kryptering är inte heller helt oproblematisk. Utvecklarna bakom Wire erkänner att krypteringen påverkar CPU-användning substantiellt och att det ställer högre krav på bandbredd. De tekniska problemen gör att Wire begränsar antalet deltagare till fyra. Jitsi verkar ha viss potential men det finns gott om rapporter om att tjänsten snabbt blir instabil och kraven på prestanda blir hög. Det finns kort sagt väldigt få bra alternativ för gruppvideosamtal som faktiskt erbjuder kryptering från punkt till punkt.

Faktumet att Zoom saknar sådan kryptering är med andra ord inte så konstigt. Problemet är väl främst att Zoom sa att de hade det, när så inte alls var fallet.

Lägsta pris på Prisjakt.se (Affiliate)

Annons

4
Leave a Reply

Please Login to comment
1 Comment threads
3 Thread replies
2 Followers
 
Most reacted comment
Hottest comment thread
3 Comment authors
Morkulnordicadmin Recent comment authors
  Subscribe  
senaste äldsta flest röster
Notifiera vid
Medlem
Maikel Aram

Ni gör en hel artikel om Zooms säkerhet men nämner inte en enda gång att Zoom har Servrar i Kina och exakt vad det innebär och att det är det som är en av de STORA orosmomenten för företag som använder Zoom, inkl Firman jag jobbar för.

Blev ni betalade för att skriva denna ”artikel”, av Zoom själva kanske?

nordicadmin
Admin

Sådana anklagelser ser jag som väldigt onödiga. Du får gärna komma med egna tankar och förslag på vad vi borde ha skrivit. Att anklaga oss för mutade är onödigt. Vi är en självstående organisation som erbjuder helt gratis innehåll till våra läsare och till dig. Allt redaktionellt innehåll skapas av redaktionen och skrivs inte på uppdrag av någon annan. För att svara på din fråga så finns det gott om saker att nämna. Vi har inte tid och utrymme att nämna exakt allt. Faktumet att de har servrar i Kina är ju knappast relevant i sammanhanget dock. Det har ju… Läs hela »

Medlem
Maikel Aram

Fair enough, tack för svaret.

ber om ursäkt för anklagelsen var lite skämtsamt menat men det kom inte över bra tydligen.

Morkul
Medlem
Morkul

Om server i Kina ska räcka för att vara ett av de ”STORA” orosmomenten för ett företag så har det företaget STORA problem.

Jag antar bland annat att företaget i fråga inte använder Microsoft produkter, för att nämna ett av många företag med servar i Kina.

Stora problemet med Zoom är inte servrar i Kina! Då allting är okrypterat och enkelt att komma åt utan lösenord så behöver inte server stå i Kina, de kan komma åt all information från Zoom ändå.