Is zoom onveilig?

Adlan Belkada
17/5/2020

Tijdens de huidige pandemie is vraag naar videobellen sterk gestegen. Het bedrijf dat in deze tijd mogelijk de sterkste groei heeft meegemaakt is Zoom. Maar samen met de stijging in populariteit zijn er ook steeds meer berichten dat Zoom onveilig is en hebben verschillende bedrijven en overheidsinstanties werknemers verboden de app te gebruiken. Hieronder zal ik enkele belangrijke problemen verduidelijken, zodat u een betere beslissingen kunt maken over het gebruik van Zoom binnen uw organisatie.

Gebruiksgemak ten koste van veiligheid

Het gebruiksgemak van Zoom is misschien wel de reden dat het bedrijf zo’n grote toename heeft gezien in het aantal gebruikers. Zoom is ontworpen om het gemakkelijk te maken een video meeting op te zetten en maakt het gemakkelijk om deel te nemen aan een video meeting. Dit ontwerp maakt het echter ook gemakkelijk voor buitenstaanders om deel te nemen aan je meeting, vaak gepaard met het delen van storende of soms zelfs aanstootgevende beelden en geluid: een fenomeen dat Zoombombing wordt genoemd.

Meeting ID

Een manier hoe Zoom gebruiksgemak heeft toegepast in de app is via de meeting ID. De meeting ID is een code die je kunt zien als het telefoonnummer van de meeting. Bij Zoom bestaat de Meeting ID uit 9 tot 11 cijfers. Deze codes zijn gemakkelijk te communiceren met mensen die je graag aanwezig wilt hebben in je meeting. Echter, door enkel cijfers te gebruiken in plaats van een combinatie van cijfers en letters die hoofdlettergevoelig zijn, heeft Zoom ook een systeem gebruikt waarin het makkelijker is voor kwaadwillenden om een actieve Meeting ID willekeurig te raden, doordat er aanzienlijk minder combinaties mogelijk zijn enkel met cijfers dan het aantal combinaties wanneer je letters toevoegt.

Standaardinstellingen

Wachtwoord

De standaardinstellingen van Zoom waren wederom gericht op gebruiksgemak. Wanneer je voor medio april een meeting startte in Zoom, was dit normaal gesproken een meeting die niet beveiligd was met een wachtwoord: om een meeting te bereiken was enkel de meeting ID nodig.

Hoewel de beveiliging met wachtwoord beschikbaar was, maakt het grootste gedeelte van de klanten geen gebruik van deze optie, totdat Zoom dit een standaard instelling maakte medio april.

Wachtruimte

Ook het gebruik van wachtruimtes is pas medio april toegevoegd als standaardinstelling. Wat het ontbreken van een wachtruimte inhield voor de update is dat deelnemers direct in de meeting belanden na invoer van de meeting ID en optioneel het wachtwoord.

Gebruik van een wachtruimte zorgt ervoor dat alle deelnemers eerst in een wachtruimte terecht komen en de organisator van de meeting handmatig kan beslissen of iemand in de wachtkamer toegang mag krijgen tot de meeting. Op deze manier kunnen ongewenste gasten worden uitgesloten, zelfs als deze de meeting ID en het wachtwoord hebben.

Het gebruik van een wachtruimte betekent wel dat de organisator goed moet opletten om ook gedurende de meeting laatkomers binnen te laten, indien gewenst natuurlijk.

Zoombombing

Doordat een groot aandeel van de Zoom meetings werd georganiseerd zonder wachtwoord en zonder wachtruimte, werd zoombombing een fenomeen. Zo werden er zelfs applicaties ontwikkeld die razendsnel verschillende meeting ID’s kan testen om op deze manier ongeveer 100 actieve, onbeveiligde meetings te vinden per uur.

De invoer van een wachtwoord en wachtruimte hebben grotendeels de mogelijkheden voor Zoombombing verminderd.

Versleuteling

Versleuteling van de data is belangrijk om ervoor te zorgen dat er niet ingebroken wordt op de data op route tussen Zoom servers en de gebruikers. Zoom maakte gebruik van een redelijke AES 128 versleuteling, en heeft medio april, tijdens een grote security update de veel veiligere AES 256 versleuteling geïmplementeerd. Dit was echter een zeer controversiële stap, omdat Zoom altijd al heeft geadverteerd met AES 256 versleuteling.

Facebook

De versleuteling is niet het enige waarin Zoom de waarheid heeft verdraaid. In de privacy policy van Zoom is niet terug te vinden dat data van gebruikers wordt gedeeld met andere partijen, toch is dat precies wat gebeurde via de Zoom iOS app. Onderzoek van Motherboard heeft eind maart aangetoond dat de Zoom iOS app data van gebruikers deelt met Facebook, zelfs als de gebruiker geen Facebookaccount heeft.

Na rapportage hiervan heeft Zoom aangegeven dat het delen van de data zoals die door Motherboard is gevonden niet de bedoeling was, en dit te maken heeft met de login-via-Facebookknop die Zoom heeft toegevoegd om het makkelijker te maken voor gebruikers om in te loggen. 1 dag nadat het nieuws werd gepubliceerd heeft Zoom een update uitgebracht voor de iOS app waarin het probleem is verholpen en er geen data meer verstuurd wordt naar Facebook wanneer je niet inlogt via je Facebook-account.

Servers in China

Zoom routeert veel van hun internetverkeer via servers in China. In tegenstelling tot andere landen die sterke wetgeving hebben rond de bescherming van privacy van gebruikers, heeft de Chinese overheid geen bevel nodig om op ieder moment in te zien wat er gebeurt op servers die zich in China bevinden. Dit is een probleem voor overheidsinstanties en voor bedrijven die met gevoelige informatie werken.

Om dit probleem tegen te gaan biedt Zoom sinds medio april de optie aan om bepaalde landen of regio’s te vermijden in de routering van data. Deze opties zijn echter enkel beschikbaar voor betalende klanten.

Zoom voor Mac (zomer 2019)

Afgelopen zomer 2019 was Zoom al in het nieuws wegens een lek in hun app voor Mac die ervoor zorgde dat Zoom app op Mac automatisch verbindingen accepteerde die normaal gesproken op een Web App niet worden geaccepteerd. Gevolg hiervan was dat websites een zoom meeting konden starten zonder dat jij het doorhebt, om op die manier toegang te krijgen tot je camerabeelden.

Zoom heeft dit lek gedicht, maar deed dit pas nadat er media-aandacht ontstond, met name wegens de reactie van het bedrijf die het lek als een laag risico bestempelde. Volgens Zoom was dit lek slechts een klein risico en was het ontworpen als een gebruiksvriendelijke oplossing. Door dit ontwerp werden er een paar klikken bespaard en hoefde de gebruiker niet meer toestemming te geven voor toegang tot de camera en microfoon.

Conclusie

Nu Zoom zoveel populariteit heeft verzameld, en er veel aandacht is voor de veiligheidsrisico's, is het bedrijf hard bezig alle problemen op te lossen. Veel van de punten hierboven beschreven zijn al opgelost door het bedrijf of zijn zelf op te lossen door aandacht te geven aan de veiligheidsinstellingen wanneer je een Zoom meeting start.  

Dit artikel is geschreven om duidelijkheid te creëren over de kritiek op Zoom. De punten hierboven zijn niet genoeg informatie om voor iedereen te beslissen of Zoom wel of geen goede oplossing is, of hoe Zoom vergelijkt met een andere aanbieder. Zoom heeft zeker ook sterke punten in vergelijking met de competitie die je niet terugvindt in dit artikel.

Mijn advies is om goed onderzoek te doen naar verschillende mogelijkheden.

Bekijk ook onze poster met enkele selectiecriteria die u kunt gebruiken voor het kiezen van de juiste tool.

Wat dit artikel wel illustreert is dat Zoom een bedrijf is dat veel waarde hecht aan gebruiksgemak, wat leidt tot compromissen op de veiligheid van de gebruikers. Ook zien we dat de oplossingen vaak worden geboden in reactie op media-aandacht en niet uit de waarde die het bedrijf hecht aan de veiligheid van gebruikers.

Geschreven op:
5/17/2020
Tags
No items found.