ズームは暗号化について誰にでも嘘をついているとされるFTCで解決する

ズームになるのは悪い日です。

ズームの株価が通り急落 の中で有望なニュース の月曜日の朝にcovid-19ワクチン開発、連邦取引委員会が発表した決算上のビデオ会議会社との「そのユーザーのセキュリティを損なわ欺瞞と不正行為のシリーズ。」FTCは、和解により、ユーザーのプライバシーとセキュリティについて根拠のない主張をしている企業に警告が送信されることを望んでいます。

FTCは月曜日のプレスリリースで、2016年以降、Zoomはユーザーのビデオ会議に「エンドツーエンドの256ビット暗号化」を提供していると誤って主張して顧客を誤解させたと述べました。代わりに、FTCは、エンドツーエンドで暗号化されていない「より低いレベルのセキュリティを提供した」と述べました。同社はまた、Macユーザーにソフトウェアを「密かに」インストールし、Zoomのクラウドに保存されているビデオ録画のセキュリティについて虚偽の主張をしたとFTCは述べた。

エンドツーエンド暗号化は、送信者と受信者のみに暗号化キーを提供することで通信を保護し、それらの関係者のみが保護された通信にアクセスできるようにします。近年、消費者レベルの暗号化のゴールドスタンダードになりました。「実際には、FTCは、Zoomが顧客の会議のコンテンツにアクセスできるようにする暗号化キーを維持し、Zoom Meetingsを、約束よりも低いレベルの暗号化で部分的に保護したと主張しています」と代理店は述べています。

インターセプトは、3月にエンドツーエンド暗号化に関するZoomの誤解を招く主張を最初に明らかにしました。10月、同社は無料および有料のユーザーに実際のエンドツーエンド暗号化の展開を 開始しました。

FTCによると、ズームはパンデミックの封鎖時に頼りになるツールになり、昨年末の1,000万人のユーザーから、今日では世界中で2億人から3億人のユーザーに増加しています。月曜日の午後早くに報道機関との電話で、FTCの消費者保護局のディレクターであるAndrew Smithは、Zoomビデオチャットがビジネスミーティングや医療提供者とのチャットなど、非常に機密性の高いディスカッションに使用されていると述べました。

FTCは、ライブビデオチャットの暗号化についてユーザーをだましているとされることに加えて、Zoomは、会社のクラウドストレージに保存されているユーザーのビデオ会議は「すぐに」暗号化されると誤って主張したと述べた。FTCによると、一部の録画ビデオは、安全なストレージに移動される前に、最大60日間暗号化されずに保存されていました。

最後に、FTCは、ZoomがMacデスクトップアプリの2018年7月のアップデートの一環として、ZoomOpenerWebサーバーをユーザーのマシンに 「密かにインストール」したと主張しています。「ZoomOpenerWebサーバーでは、一般的な種類のマルウェアからユーザーを保護するApple Safariブラウザーの保護手段をバイパスすることで、Zoomがユーザーを自動的に起動して会議に参加させることができました」とFTCは述べています。エージェンシーは、Zoomが 「アプリのアップデートにより、ZoomOpener Webサーバーがユーザーのコンピューターにインストールされること、Safariブラウザーの保護手段が回避されること、またはユーザーが削除した後もユーザーのコンピューターに残ること」 を適切に開示しなかったため、ユーザーをさらに誤解させると述べた。ズームアプリ。」

ズームは電子メールでの声明の中で、CEO兼創設者のエリックユアンが4月上旬に発表した90日間のプライバシーとセキュリティのレビューを含む1年間のFTC調査に関連して、セキュリティを改善するためにすでに取られた努力をほのめかしました。

「ユーザーのセキュリティはZoomの最優先事項です。特に、この前例のない世界的な危機を乗り越えてユーザーとのつながりを維持するためにユーザーが私たちに依存しているため、私たちはユーザーが私たちに毎日寄せる信頼を真剣に受け止めており、セキュリティとプライバシープログラムを継続的に改善しています」と同社は述べています。「私たちはプラットフォームに加えた進歩を誇りに思っており、FTCによって特定された問題にすでに取り組んでいます。FTCによる本日の決議は、安全なビデオ通信体験を提供するために、製品の革新と強化への取り組みと一致しています。」

Under the terms of its settlement with the FTC, Zoom must perform security audits prior to any software updates, carry out annual audits of any potential “internal or external” security risks, implement a “vulnerability management program,” roll out data-deletion tools, and mitigate the use of stolen user credentials, according to the agency. Of course, Zoom is also prohibited from further deceiving or misleading users and must undergo a security audit by an independent third party every two years.

There is no financial component to this settlement; however, Linda Holleran Kopp, the lead attorney on the Zoom investigation, told reporters on Monday that the company will face “significant civil penalties if they violate the terms of the order.”