Segurua al da Zoom erabiltzea banakako edo taldekako bideo-deiak egiteko?

COVID-19aren pandemiaren garapenak eta horrekin etorri den herritarren konfinamenduak bideokonferentzien eta txateatzeko aplikazioen erabilera erabat zabaltzea ekarri du; Zoom, Skype, WebEx, Houseparty, Google Meet (Hangouts) edo Microsoft Teams, besteak beste.

Datuek erakusten dutenez, Zoom aplikazioaren bidez egindako banakako eta taldekako bideo-deiek, esate baterako, % 4.076 egin dute gora, alarma-egoera dekretatu aurreko egunetako datuekin alderatuta, Vodafonek emandako datuen arabera.

Hala ere, erabilera masibo horrek aplikazioaren hutsune batzuk azaleratu ditu, eta ezinegona sortu dute erabiltzaileen artean, EiTBk #Koronabuloak gezurtatzeko abiatu duen WhatsApp zenbakian (600 900 454) jasotako kontsultetan ikus daitekeenez.

Maldita.es web-orrian (Euskal Irrati Telebista egunotan horrekin ari da harremanetan koronabirusari buruzko fake news edo albiste faltsuei aurre egiteko) dagoeneko aritu dira gai horri buruz, Maldito Bulo atalean, eta hau da orain arte horretaz dakitena:

Datuak bidaltzen zizkion Facebooki iOSetik, sare sozialean konturik izan ez arren

Teknologian aditua den Vice AEBko hedabideak eman zuen argitara Zoomen oraintsu atzeman duten lehen arazoetako bat. Hain zuzen ere, iragan martxoaren 23an jakinarazi zuenez, Apple etxearen iOS sistema eragilea duten gailu mugikorretan instalatuz gero, aplikazioak Facebooki ematen zizkion erabiltzaileen datuak, baita sare sozial horretan kontua erregistratuta ez duten erabiltzaileenak ere, zerbitzuak bere politiketan horren berri ematen ez bazuen ere.

Facebookera bidaltzen ziren datuen artean, erabiltzaileak zerbitzuan egindako nabigazioaren informazioa zegoen: noiz irekitzen zen aplikazioa, gailuaren xehetasunak, kokapena, telefono-konpainia eta publizitatea erabiltzailearen gustuen arabera bideratzeko datuak.

Horren berri zabaldu eta gero, Zoomek komunikatu bat kaleratu zuen Facebookeko tresnek bideokonferentzia zerbitzua emateko "beharrezkoa ez zen informazioa bildu" zutela onartuz, eta, horregatik, iOSerako aplikaziotik ezabatzea erabaki zuen.

Horrela, gaur egun ez dago modurik iOS gailuetatik Facebookeko kontuarekin zerbitzu honetan autentifikatzeko, baina gaituta dago oraindik Zoomen nabigatzaileentzako bertsioan.

Zalantzak muturretik muturrerako zifratzearekin

Maldito Buloren arabera, zeresana eragin duen beste kontu bat ere badago; izan ere, enpresak esaten du, zerbitzu horren ezaugarria balitz bezala, komunikazioak "muturretik muturrera" enkriptaturik daudela (betiere audioa ordenagailutik erabiltzen bada, ez sakelakotik). Horrela balitz, inork ez luke jakingo kontaktuek zer mezu bidaltzen dizkioten elkarri; Maldito Bulok esan duenez, baina, hori "ez da guztiz zuzena".

The Intercept hedabide adituak ikerketa propio batean azaldu zuen aplikazioaren beraren eta horren zerbitzariaren arteko konexioa zifratzeko teknologia erabiltzen duela Zoomek, eta izan ez dela "muturretik muturrera", "garraiorako" besterik ez baita. Hau da, beste pertsona batek edo beste zerbitzu batek ezingo lituzke mezu horiek irakurri edo elkarrizketa horiek entzun, baina enpresak bai. Enpresak onartu egin zuen argitalpen ofizial batean, baina ez zuen argitu zerbitzuaren ezaugarri hori aldatuko duen.

Arazoak deietara sartzeko estekekin

Aplikazioaren txatetan ere izan dira segurtasun akatsak, erabiltzaileek estekak elkarri bidali eta horietan sartzeko klik bakarrik egin behar zutenean. Esteka horiek kudeatzeko moduak horiek aldatzeko aukera ematen zien balizko erasotzaileei, 'g0dmode' zibersegurtasun ikertzaileak ohartarazi zuen moduan.

Erasotzaile batek teknika hori erabil zezakeen maltzurkeriaz, esteketan klik egiten zituzten Zoomeko erabiltzaileen baimenak eskuratzeko, datu sentikorrak jasotze aldera, erabiltzaile-izena eta horren 'hash'-a.

Esteketan klik egiten duen erabiltzailearen gailuan aplikazioak irekitzeko ere erabil zezakeen, baina, kasu honetan, Windowsen segurtasun-mekanismoek mezu bat erakusten dute hori egin baino lehen, erabiltzaileari baieztapena eskatzeko.

Zoombombinga

Erabiltzaileek maiz izaten zuten beste arazo bat izaten zen gonbidatuta ez zeuden internautak ezustean agertzen zirela telekonferentzietan; zoombombing izena jarri zioten fenomeno horri.

Hackerrak baimenik gabe sartzen ziren enpresa, ikastetxe edota gobernu-estamentuen bilera digitaletara, eta parte-hartzaileen pribatutasuna hautsi eta aztertzen ari ziren informaziorako sarbidea izateaz gain, batzuetan, eten egiten zituzten, hizkera lizuna eta mehatxuak ere eginez.

Horrelakoak saihesteko, Zoomek "itxarongela" ezarri du aurrez definitutako aukera gisa. Beraz, bilera birtualaren sustatzaile gisa ari den erabiltzaileak banan-banan onartu behar ditu bideo-dei horretan parte hartu nahi duten pertsona guztiak. Horrek zoombombing kasurik ez izatea ekarri beharko luke.

Aukera horrek "itxarongela" izena du parte-hartzaileak zain egon behar duelako onartua izan arte. Bazegoen Zoomen, baina ez aurrez definitutako aukera gisa, bileraren antolatzaileak nahita aktibatu behar izaten baitzuen.

90 egun funtzio berririk gabe baina soluzioekin

San Jose hirian (Kalifornia, AEB) egoitza duen enpresak honelako gorabeherei ematen dizkien erantzunak azkar heltzen badira ere, Zoomek funtzio berriak kaleratzeko prozesua gelditu du 90 egunez (apirilaren 2tik), bere baliabide guztiak lanean jartzeko gaur egungo zerbitzuan dituzten "konfiantza, segurtasun eta pribatutasun arazo nagusiak" konpontze aldera.

Konpainiak komunikatu batean aitortu duenez, Zoom enpresei bilera birtualak egiteko aukera ematen zien zerbitzu gisa sortu zuten, baina gaur egungo konfinamendu-egoerak eta horren erabilera zabalak "plataforma proiektatu zenean aurreikusi ez ziren erronkak ekarri dituzte".

Epe honetan hartuko dituen neurrien artean, kanpoko adituekin batera egingo den segurtasun azterketa eta auditoria bat egitea, kanpotik jasotzen dituzten datuen eskariak islatzeko gardentasun txosten bat prestatzea eta horren ahultasunak aurkitzen dituztenak saritzeko programa indartzea.

Horrez gainera, alor honetan jardunbide egokia izateko, beste enpresa batzuetako segurtasun-arduradunekin akordioak adostuko dituela agindu du Zoomek.

Tresna egokia da "informazio sentikorra" ez duten agertokietarako, CNIren arabera

Sortutako polemika ikusita, Inteligentzia Zentro Nazionalean (CNI) adskribatutako Espainiako Kriptologia Zentro Nazionalak (CCN-CERT) bilera birtualen eta bideo-deien segurtasuna hobetzeko jarraibide batzuk eman ditu.

Horrela, besteak beste, koronabirusaren krisia dela-eta telelana nagusi den agertokietan, eta "informazio sentikorra erabili ezean", Zoom kontuan izateko moduko aukera bat dela esan du.

Testuan azaldu duenez, "Zoom erabiltzeko arriskua onargarria da eduki aldetik informazio oso sentikorra ez duten bileretarako, eskola-klaseetarako eta bulegotik kanpo kontu arruntei buruz aritzeko".

Dena dela,horren arabera, aipatutako akats horien aurrean, "Zoomek segurtasun-adabakiak kaleratu ditu jada, eta produktua hobetzen jarraitzeko asmoa du". Hori dela eta, "eskuragarri dagoen azken bertsioarekin eguneratu eta denda ofizialetatik deskargatu" beharko genukeela esan du; izan ere, bestela, zibererasotzaileek zabaldutako esteka maltzurrak erabil daitezke, phishing tekniken bidez iruzurrezko webetara birbideratzeko. Ekipoak arriskuan jar ditzaketen troiarrak deskargatzen dira bertatik.

Maldita.es atariarekin ez ezik, VOST Euskadirekin eta Eva Caballerok Radio Euskadin duen La Mecánica del Caracol dibulgazio saioko komunitate zientifikoarekin ere ari da EiTB elkarlanean zurrumurru horiei aurre egiteko.

2020ko apirilaren 22an, Zoomek bere softwarea gaurkotu duela iragarri du; horrela, enkriptatze-sistema hobetu du. Segurtasun-faltako gaitzespenei erantzuna ematea da eguneratzearen helburua.

Zoomek ohar batean azaldu duenez, 5.0 bere bertsioak 256 GCM biteko euskarria gehitu du, enkriptatzea duen zifratzerako. Hortaz, "bileren datuek segurtasun handiagoa izango dute, eta manipulazioaren aurkako erresistentzia areagotuko da".

Eguneratzea aste honetatik bertatik izango da eskuragarri; kontuaren administratzaileek aukeratu ahalko dute datuen zentroko zein erregio erabiliko duten euren bilerek eta onlineko konferentziek, kontuari, taldeari edo erabiltzaileei dagokienez.

Bestalde, enpresak ikono berean taldekatu ditu segurtasunarekin lotutako aukera guztiak; bilera digitalaren menu-barran izango dute sarbidea.

Gainera, "itxarongela" aukera besterik adierazi ezean aktibatuko da; bideokonferentzien anfitrioiek salaketa egin ahalko dute, baimendua ez zegoen erabiltzaile batek parte hartu nahi badu.