Ga naar inhoud

Aanbevolen berichten

Geplaatst: (aangepast)

Zoom maakt end-to-end encryptie niet beschikbaar voor gratis gebruikers, omdat het bedrijf ook met de FBI en opsporingsdiensten wil samenwerken in het geval van misbruik van de videoconferentiesoftware. Dat liet ceo Eric Yuan tijdens een conference call weten, zo meldt persbureau Bloomberg. Volgens Alex Stamos, voormalig chief security officer van Facebook en tegenwoordig adviseur van Zoom, is het een lastige balans om privacy te verbeteren en misbruik van het platform tegen te gaan.

Zoom kwam begin dit jaar onder vuur te liggen omdat het claimde dat het de communicatie van gebruikers end-to-end versleutelde, terwijl dat niet het geval was. Vorige week lanceerde Zoom versie 5.0 van de software waarmee de communicatie van alle gebruikers, zowel betaald als gratis, via 256-bit GCM encryptie wordt versleuteld. "Het is nog steeds geen end-to-end encryptie, en is gewoon een versleuteling van de datastream, maar het is een stap in de juiste richting", zegt hoogleraar cryptografie Bill Buchanan.

Zoom is nu nog steeds in staat om de inhoud van de communicatie van gebruikers te bekijken en ook een aanvaller zou dit kunnen doen. "In de huidige implementatie kan een passieve aanvaller die de serverinfrastructuur van Zoom kan monitoren en toegang tot het geheugen van de relevante Zoom-servers heeft de encryptie ongedaan maken. De aanvaller kan de shared meeting key observeren, session keys afleiden en alle meetingdata ontsleutelen", aldus Zoom over de huidige encryptiemethode.

Om de communicatie van gebruikers volledig te beschermen wil het bedrijf end-to-end encryptie gaan toevoegen. Een opzet voor de implementatie hiervan werd onlangs gepresenteerd (pdf). Wanneer end-to-end encryptie daadwerkelijk beschikbaar komt is nog onbekend. Daarnaast zal de optie alleen beschikbaar komen voor betalende gebruikers en in eerste instantie alleen voor Zoom-meetings.

"Gratis gebruikers willen we zeker geen end-to-end encryptie geven, omdat we ook met de FBI, met lokale opsporingsdiensten willen samenwerken in het geval mensen Zoom voor verkeerde zaken gebruiken", vertelde Yuan tijdens een conference call over de resultaten van het eerste kwartaal. Stamos, die door Zoom werd ingehuurd om de beveiliging te verbeteren, laat via Twitter weten dat de videconferentiesoftware met allerlei vormen van misbruik heeft te maken. Aan de ene kant wil Zoom de privacy verbeteren, terwijl het ook misbruik wil tegengaan, wat een lastige balans is, aldus Stamos.

Zoom heeft besloten om end-to-end encryptie alleen beschikbaar te maken voor klanten met een "business" en "enterprise" abonnement. Daarnaast zal de optie opt-in worden. Een groot deel van de Zoom-meetings maken gebruik van features die niet compatibel met end-to-end encryptie zijn, zoals PSTN-telefoons, cloudopnames, cloudtranscripties en streaming naar YouTube, voegt Stamos toe.

De bij nadruk bij het ontwerp van end-to-end encryptie zal komen te liggen op het authenticeren van de gebruikers en apparaten die er gebruik van maken. "Zal dit al het misbruik elimineren? Nee, maar aangezien het grootste deel van het misbruik afkomstig is van self-service gebruikers met valse identiteiten, zal dit voor frictie zorgen en misbruik verminderen", laat Stamos weten.

 

bron: security.nl

aangepast door Captain Kirk
×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.