Key Takeaways
- Komisi Perdagangan Federal AS mengumumkan pada 9 November bahwa mereka telah mencapai penyelesaian dengan Zoom setelah menuduh bahwa itu menyesatkan pengguna mengenai keamanan.
- Penyelesaian ini mengharuskan Zoom untuk menerapkan "program keamanan komprehensif".
- Zoom mengatakan telah mengatasi masalah tersebut, dan baru-baru ini mengumumkan akan memperkenalkan enkripsi ujung ke ujung.
Platform konferensi populer Zoom meningkatkan praktik keamanannya sebagai bagian dari penyelesaian dengan Komisi Perdagangan Federal (FTC) AS, menyusul tuduhan agensi tersebut yang menyesatkan pengguna tentang tingkat keamanannya.
Zoom telah menjadi terkenal hanya dalam beberapa bulan, dengan dunia beralih ke platform konferensi video karena pandemi yang sangat membatasi pertemuan langsung. Namun, keluhan FTC menuduh bahwa Zoom "terlibat dalam serangkaian praktik penipuan dan tidak adil yang merusak keamanan penggunanya."
Ini mengikuti pengawasan dari pakar keamanan awal tahun ini, yang menemukan bahwa platform tersebut tidak menggunakan enkripsi ujung ke ujung meskipun ada klaim pemasaran. Zoom juga melihat masalah keamanan lainnya selama popularitasnya meningkat, seperti peserta yang tidak diinginkan menabrak rapat dalam praktik yang disebut "zoombombing." Sebagai bagian dari penyelesaian FTC, Zoom telah berkomitmen untuk menerapkan "program keamanan yang komprehensif."
"Selama pandemi, hampir semua orang-keluarga, sekolah, grup sosial, bisnis-menggunakan konferensi video untuk berkomunikasi, menjadikan keamanan platform ini lebih penting dari sebelumnya, " Andrew Smith, direktur Biro Konsumen FTC Perlindungan mengatakan dalam siaran pers agensi.
"Praktik keamanan Zoom tidak sesuai dengan janjinya, dan tindakan ini akan membantu memastikan bahwa rapat Zoom dan data tentang pengguna Zoom dilindungi."
Pengawasan Pemerintah
Keluhan FTC menuduh bahwa Zoom menyesatkan penggunanya tentang beberapa masalah terkait keamanan, yang paling penting terkait dengan klaim yang dibuat tentang enkripsi ujung ke ujung.
Dikatakan bahwa Zoom telah mengklaim menawarkan enkripsi 256-bit end-to-end untuk panggilan Zoom sejak 2016, tetapi benar-benar memberikan tingkat keamanan yang lebih rendah. Ketika enkripsi ujung ke ujung diaktifkan, hanya peserta dalam panggilan atau obrolan yang memiliki akses ke informasi yang dipertukarkan - bukan Zoom, pemerintah, atau pihak lain mana pun.
Selain itu, pengaduan menuduh bahwa Zoom menyimpan rapat yang direkam dan tidak terenkripsi di servernya hingga 60 hari ketika Zoom memberi tahu beberapa penggunanya bahwa mereka akan segera dienkripsi.
Masalah lain terkait dengan perangkat lunak Mac yang disebut ZoomOpener, yang tetap ada di komputer pengguna bahkan saat menghapus Zoom dan dapat membuat mereka rentan terhadap peretas. "Perangkat lunak ini melewati pengaturan keamanan browser Safari dan menempatkan pengguna pada risiko-misalnya, itu bisa memungkinkan orang asing untuk memata-matai pengguna melalui kamera web komputer mereka," Spesialis Pendidikan Konsumen FTC, Alvaro Puig, menjelaskan dalam sebuah posting blog.
Respons Zoom
Sementara Zoom baru saja menyelesaikan keluhan FTC, perusahaan memberi tahu Lifewire dalam email bahwa mereka "sudah mengatasi" masalah tersebut.
"Keamanan pengguna kami adalah prioritas utama Zoom," kata juru bicara perusahaan kepada Lifewire melalui email. Zoom telah mengambil beberapa langkah untuk menanggapi tuduhan FTC, termasuk peluncuran rencana 90 hari pada bulan April yang menghasilkan lebih dari 100 fitur terkait privasi dan keamanan.
Zoom memang memperkenalkan enkripsi ujung ke ujung pada akhir Oktober, yang dimungkinkan oleh akuisisi perusahaan bernama Keybase pada bulan Mei. Enkripsi ujung-ke-ujung masih dalam apa yang disebut Zoom sebagai mode "pratinjau teknis", dan perusahaan mengatakan bahwa server Zoom tidak memiliki akses ke kunci enkripsi. Untuk saat ini, beberapa fitur dibatasi dalam mode enkripsi ujung ke ujung, termasuk kemampuan untuk bergabung ke rapat sebelum ruang penyelenggara dan ruang kerja kelompok.
Cara Menggunakan Enkripsi End-to-End Zoom
University of Alabama di Birmingham, profesor ilmu komputer Nitesh Saxena mengatakan bahwa upaya Zoom untuk menerapkan sistem enkripsi ujung-ke-ujung yang sebenarnya adalah "langkah ke arah yang benar," tetapi mencatat bahwa masih ada pekerjaan yang harus dilakukan.
"Ada masalah penting yang perlu ditangani sebelum ini benar-benar dapat memberikan tingkat keamanan yang mungkin diminta pengguna dari panggilan Zoom," katanya.
Saxena, yang telah mempelajari keamanan Zoom secara ekstensif, mengatakan bahwa keamanan metode enkripsi ujung-ke-ujungnya pada akhirnya bergantung pada proses yang digunakan untuk memvalidasi kunci kriptografi peserta rapat (langkah kunci untuk mencegah penyadap panggilan).
Dalam hal ini, pengguna memeriksanya sendiri sebelum memulai rapat. Dalam fase pertama protokol enkripsi ujung-ke-ujung Zoom, penyelenggara rapat membaca kode 39 digit yang harus diperiksa orang lain di layar mereka.
Praktik keamanan Zoom tidak sesuai dengan janjinya, dan tindakan ini akan membantu memastikan bahwa rapat Zoom dan data tentang pengguna Zoom terlindungi.
Menurut penelitian Saxena dan timnya, pendekatan ini rentan terhadap kesalahan manusia jika seseorang tidak memperhatikan dan secara tidak sengaja menerima kode yang tidak cocok atau melewatkan proses sepenuhnya.
Juga, penyelenggara rapat dan peserta harus memastikan bahwa mereka mengaktifkan enkripsi ujung ke ujung sebelum memulai rapat, karena tidak diaktifkan secara default. Penelitian Saxena juga menemukan bahwa jenis kode numerik yang digunakan Zoom juga rentan terhadap jenis serangan tertentu.
Jadi, pengguna Zoom dapat merasa lega karena platform tersebut telah mengatasi masalah keamanan utama yang diangkat oleh keluhan FTC, dan sekarang menawarkan fase pertama enkripsi ujung ke ujung. Namun, peserta konferensi harus menyadari bahwa menggunakan mode enkripsi end-to-end yang baru dengan benar memerlukan perhatian ekstra ketika tiba waktunya untuk proses validasi kode di awal panggilan.
