Sårbarheter oppdaget i Videomøtetjenesten Zoom


Tjenesten er nå sikkerhetsoppdatert. Du bør likevel vurdere om sikkerheten tilfredsstiller dine krav, hvis ikke, bør du vurdere å bytte tjeneste.

Det har stormet mye rundt videomøtetjenesten Zoom fra amerikanske Zoom Video Communications de siste dagene på grunn av avsløringer om deres behandling av brukerdata og sikkerhet.
Zoom er en av løsningene vi lister opp i vår veileder om videomøter. Vi ønsker derfor å forklare hvorfor denne tjenesten er med i veilederen også etter at sårbarheten ble kjent.

Etter en helhetsvurdering har vi valgt å ikke fjerne Zoom fra lista over anbefalte løsninger fordi leverandøren har:

  • kommet med sikkerhetsoppdateringer som fjerner alle kjente sårbarheter.
  • har fjernet deltakerens oppmerksomhetssporingsfunksjon.
  • har fjernet LinkedIn Sales Navigator-appen etter å ha identifisert unødvendig avsløring av data.
  • publisert en blogg for å tydeliggjøre fakta rundt kryptering på plattformen:
    https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Viktig at leverandører løser sårbarheter raskt

Det oppdages til stadighet sårbarheter i de fleste operativsystem og applikasjoner. Det viktigste når dette skjer, er at selskapet bak applikasjonen eller operativsystemet håndterer tilbakemeldingene om sårbarheten raskt og på en god måte. De bør også komme ut med eventuelle sikkerhetsoppdateringer. Det mener vi Zoom Video Communications har gjort.

Uheldig å reklamere for ende-til-ende-kryptering når det ikke stemmer

Det som er mindre bra er at de har “reklamert” for at tjenesten tilbyr ende-til-ende-kryptering. Det gjør den ikke. For de som har valgt Zoom ut fra dette kriteriet er det svært uheldig. Rent generelt anbefaler vi ikke noen å benytte chattefunksjoner til utveksling av sensitive opplysninger. Dette er fordi slike samtaler ofte mellomlagres og derfor kan bli liggende på videotjenesteleverandørens server. Dersom det er en forutsetning at tjenesten tilbyr ende-til-ende-kryptering, bør du vurdere å bytte til en annen løsning.