Säkerhetsfrågor kring Zoom

Videokonferenstjänsten Zoom gick på ett par månader från 10 miljoner dagliga mötesdeltagare till över 300 miljoner. En del säkerhetsrisker uppdagades - dessa är nu lösta.

Zoom är inte bara en av världens mest populära och mest använda videokonferenstjänster, utan också ett av de mest omskrivna och kritiserade utifrån säkerhetsbrister som uppdagats i samband med att tjänsten exploderat i antal användare.

Det amerikanska bolaget tog snabbt till sig den kritik som de överöstes med och beslutade i början av april 2020 att i 90 dagar fokusera nästan all utveckling mot att lösa säkerhetsproblem.

Mycket har hänt sedan dess. Sedan den 30 maj 2020 har tjänsten lyckats åtgärda alla problem som har dykt upp. Kvar finns enbart risker som uppstår när hackare utnyttjar tjänstens popularitet genom att erbjuda alternativa nedladdningsajter för Zoom-applikationen. Detta är emellertid ett problem som de flesta stora applikationstjänster har.

‍

Håll dig säker – tre enkla sätt

Uppdatera appar och program kontinuerligt. Det är alltid viktigt oavsett programvara, men i synnerhet sådana som hanterar potentiellt känslig data.
Ladda aldrig ned Zoom-programmen från något annat ställe än Zooms egen sajt, zoom.us, och från Apple och Googles app-butiker.
Lås dina möteslänkar med lösenord så slipper du risken för potentiellt oväntat besök. Du ändrar i dina inställningar för ditt konto.

Aktuell status om Zoom

Zooms största brister – och hur de har löst dem

All trafik har gått via servrar i Kina.

Vissa möten har utsatts för så kallad ”Zoom-bombing".

Zoom:s chatt har haft säkerhetsluckor.

Zoom har varit sårbar mot s.k. ”UNC Path Injection” vilket har gjort att hackare har kunnat komma in via chatten och fått tag på Windows kontouppgifter från Zoomanvändare. Därutöver har vissa chattfunktioner som fildelning och Giphy-integrationen haft säkerhetsluckor.

‍Vad har Zoom gjort åt det?
‍Under våren 2020 uppdaterades applikationen för att inte längre ha problemet med UNC Path Injection. Därutöver har funktioner som fildelning, länkdelning och Giphy periodvis stängts av tills problemen lösts och sedan slagits på igen.

Zoom ger Facebook och LinkedIn personlig data.

Zoom gav tidigare användare med Mac/Iphone en möjlighet att logga in till tjänsten via sitt Facebook-konto, på samma sätt som många andra tjänster på nätet erbjuder. Det visade sig dock att Facebook lagrade en del data i anslutning till inloggningen. På ungefär liknande sätt fanns en LinkedIn-integration som också avslöjade en del information genom personens LinkedIn-konto.

‍Vad har Zoom gjort åt det?
‍Zoom har konfigurerat om kopplingen till Facebook så att det efter en uppdatering den under våren 2020 fortfarande går att logga in via Facebook men utan att Facebook lagrar någon data när tjänsten används. Därutöver har kopplingen till LinkedIn tagits bort helt.

Zoom-möten har inte varit helt krypterade.

Många kommunikationstjänster idag krypterar trafiken så att datan krypteras innan det skickas iväg från avsändaren och avkrypteras endast när den nått mottagaren. Det gör att det är nästintill omöjligt för obehöriga att ”lyssna av” den data som skickas.

Zoom har saknat kryptering viket de har fått kritik för.

‍Vad har Zoom gjort åt det?
‍Sedan våren 2020 finns version 5 av Zooms klientapplikationer (de olika programmen för dator, mobil, padda osv) som tillsammans med uppdateringar på Zooms servrar stödjer kryptering. Från och med 30 maj 2020 slutar tidigare versioner av programvaran att fungera, vilket de facto innebär att all kommunikation genom Zoom blir krypterad.