Säkerhetsexperten: Zoom går inte att lita på

2020-04-15 06:00  

Tech-världens blickar är riktade mot Zoom efter flera säkerhetsskandaler. Vågar man ens använda tjänsten? Ja – men inte för alla ändamål, säger Karl Emil Nikka, it-säkerhetstutbildare. Även MSB varnar för att använda Zoom.

Eric S Yuan, vd för videokonferenstjänsten Zoom, har haft bättre dagar.

Å ena sidan har företaget han leder fått ett rejält uppsving under corona-utbrottet. Å andra sidan har Yuan och Zoom fått motta skarp kritik under den senaste tiden. Detta efter att flera säkerhetsbrister upptäckts i den populära tjänsten.

Listan på missöden kan göras lång. En tidigare sårbarhet gjorde det bland möjligt för hackare att lura till sig krypterade autentiseringsuppgifter till Windows.

Flera har förbjudit Zoom-användning

Efter flera uppmärksammade säkerhetsbrister förbjöds videochattappen Zoom i New Yorks skolor. Även Google och Elon Musks företag Space X har infört förbud mot att använda versioner av Zoom.

Men trots den massiva kritiken lever Zoom kvar hos flera organisationer och företag världen över. En relevant fråga att ställa sig är: vågar man ens använda Zoom?

– Absolut. Men du måste fundera på vad tjänsten används till. Gör du det för att vara med i en virtuell yogaklass är det inte problem. Däremot, om ni ska hålla styrelsemöte för att diskutera företagshemligheter bör ni välja en annan tjänst, säger Karl Emil Nikka, it-säkerhetstutbildare, till Ny Teknik.

Karl Emil Nikka, författare till it-säkerhetshandboken "Bli säker", har följt utvecklingen runt Zoom noga under den senaste tiden. Företaget har en mindre smickrande historia av it-säkerhetsincidenter bakom sig. Ett exempel från ifjol handlar om Mac Os-versionen av Zooms klientprogram, det vill säga app-versionen av tjänsten som folk laddar ned till sina datorer.

– Zoom använde ett avinstallationsförfarande som vi annars bara ser hos skadeprogram. Det gjorde att programmet låg kvar på datorn – även efter att användarna trodde att de hade avinstallerat appen. Det här gjorde säkerhetscommunityn världen över helt vansinnigt, vilket till slut fick Zoom att agera och uppdatera klientprogrammet, säger Karl Emil Nikka.

Utlovad kryptering fanns inte

Men det var när Zoom för några veckor sedan felaktigt utlovade end-to-end-kryptering i sin tjänst som bägaren rann över för Karl Emil Nikka.

– Det stämde helt enkelt inte, och det fick mig att gå ut offentligt med att Zoom inte är ett företag som går att lita på. Om företaget utlovar något sådant, som vi nu vet inte är sant – vad är det då mer som inte funkar bakom kulisserna hos Zoom?

Tror du att Zoom kan lösa det här?

– Jag vet att de jobbar hårt med att komma tillrätta med problemen nu. Till exempel har de plockat in it-säkerhetsexperten Alexander Stamos, adjungerad professor vid Stanford, som rådgivare. Vi får hoppas att Zoom verkligen får ordning på dessa problem.

Zoom används av flera svenska högskolor och universitet. Bör de sluta med det?

– Utbildningen måste fortsätta, och vi gör så gott vi kan i krissituationer som dessa. Men mitt råd till skolor är att i alla fall överväga att använda mer lämpliga alternativ för fjärrundervisningen.

MSB: Risk för intrång i Zoom

Även MSB, Myndigheten för samhällsskydd och beredskap, varnar för att använda Zoom i flera fall. Hackade videomöten på Zoom har fått polismyndigheten FBI i USA att varna för säkerhetsbrister. MSB väljer att göra samma sak, trots att myndigheten inte känner till liknande angrepp i Sverige.

– FBI har beskrivit ett antal fall av intrång och liknande saker riskerar att hända i Sverige, säger Hedvig Kylberg, handläggare på Cert-se, som är den nationella funktionen vid Myndigheten för samhällsskydd och beredskap (MSB) för att hantera it-incidenter.

– Många universitet och skolor bedriver undervisning via videokonferenssystem, och Zoom är en populär tjänst vid digitala möten, säger Hedvig Kylberg,

TT: När är det direkt olämpligt att använda Zoom?

– När man delar känslig, sekretessbelagd eller säkerhetsklassad information. Men det finns andra liknande tjänster som också är olämpliga då, säger Hedvig Kylberg.

Obehöriga deltagare smyger in på mötet

Ett problem som kan få rätt allvarliga konsekvenser, inte bara i skolsammanhang, är så kallad ”Zoom-bombing”. Det innebär att användare som inte ska vara där smyger in under videokonferenser, och bombar chatten med olämpliga bilder och länkar, eller stör på andra sätt.

I ett försök att få bukt med problemet började Zoom ha lösenordsskydd påslaget som standard för alla nya möten. Det räckte tyvärr inte helt eftersom bråkiga elever började sprida det gemensamma möteslösenordet också.

– Det finns många sätt att skydda möten mot ”zoom-bombing” och andra otyg. Vilken metod som passar bäst beror på mötets känslighet och vilka som deltar. Om läraren vill använda Zoom kan han eller hon antingen använda ett så kallat väntrum eller helt enkelt låsa mötet när alla behöriga elever har anslutit, säger Karl Emil Nikka.

Skippar apparna – och kör webbversionen

Ett annat säkerhetsproblem som följer i svallvågorna av coronakrisen är en stor ökning av så kallade look-a-like-domäner. Här är inte bara Zoom drabbat, poängterar Karl Emil Nikka – men tillvägagångssättet är detsamma oavsett tjänst.

Angriparna sätter upp en falsk domän, exempelvis zooom.com – något som är snarlikt tjänstens officiella domän, men skapat enbart för att förvilla användarna. Sedan skickar hackarna ut ett bedragarmejl som ser ut att komma från en tillförlitlig källa, men som i själva verket länkar till en falsk sida som angriparna har satt upp ihop om att komma över lösenord och annan känslig information.

– Säkerhetsföretaget Check Point upptäckte att det bara i år har registrerats 1 700 domäner som påminner Zooms. Det är inte bara Zoom som är utsatt utsatta från det här – och problemet är att ingen kan göra något för att stoppa det. Vad man bör göra som organisation är att informera sina användare om att alltid ifrågasätta länkar som dyker upp i mejl.

En annan viktig åtgärd är att rekommendera sina användare att hålla sig till den webbaserade versionen av Zoom.

– Vi har sett spridning av infekterade Zoom-appar. Om alla i stället har för vana att starta Zoom i webbläsaren, försvinner en lättutnyttjad attackvektor. Det här med att uppmana till att man ska använda webbversionen av Zoom och andra tjänster är också en bra hygienfaktor att ha med när man bjuder in andra företag och organisationer till videokonferenser. Det är trots allt långt ifrån alla som kan installera applikationer på sina arbetsdatorer, säger Karl Emil Nikka.

Här är Zooms värsta säkerhetsmissar

Sajten Tom's Guide har gjort en sammanställning av Zooms största misstag när det gäller säkerhet och integritet. Här är några exempel:

"Zoom-bombning"

Den som känner till id-numret på en Zoom-konferens kan olovligen ansluta, och sedan störa samtalet genom att exempelvis sprida ovälkomna bilder via chatten. Företeelsen kallas "zoom bombing", och går numera delvis att förhindra genom att ändra inställningarna.

Windows-lösenord på vift

Genom att dela en viss typ av länkar i chatten gick det att lura till sig andra mötesdeltagares användarnamn och en krypterad kopia av deras Windows-lösenord. Problem är nu åtgärdat, enligt Zoom.

Spred data om Ios-användare

Fram till bara några veckor sedan skickade Zoom data till Facebook om Ios-användare – även om dessa inte ens hade något konto hos sociala mediejätten. Efter att Motherboard/Vice rapporterat om problemet har Zoom uppdaterat Ios-appen för att fixa detta.

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt