It-drift, Software, Open Source

Zoom er populært – men eksperter advarer

Brugen af videomøder er eksploderet under coronakrisen, men Zoom, som er tidens mest populære værktøj, udgør en alvorlig sikkerhedstrussel, advarer eksperter. Brug alternativerne, lyder det fra PROSAs forbundssekretær Henrik Jacobsen.

Skoleelever bruger det, undervisere bruger det, og mange virksomheder tager det i stigende grad til sig under den aktuelle nedlukning af samfundet: Onlineværktøjet Zoom, som gør det muligt at afholde videokonferencer med helt op til 1.000 deltagere. Det er nemt, effektivt og gnidningsfrit.

Men du skal tænke dig godt om, og du gør klogt i at læse privatlivspolitikken grundigt, inden du accepterer Zooms forretningsbetingelser. Og hvis din arbejdsplads ikke allerede er klar over det, så bør du også advisere ledelsen om, at der er en række sikkerhedsproblemer ved at benytte Zoom.

Under anklage

Sådan lyder advarslen fra flere sider i takt med, at Zoom går sin sejrsgang over store dele af verden som det foretrukne videoværktøj under coronakrisen. Ifølge New York Times har anklagemyndigheden i New York i denne uge henvendt sig direkte til Zoom for at få svar på en lang række spørgsmål om sikkerheden og behandlingen af personlige data.

I sin henvendelse skriver New Yorks rigsadvokat Letitia James, at Zoom har været langsomme til at reagere på sikkerhedsbrister, som ”kan sætte ondsindede tredjeparter i stand til blandt andet at opnå adgang til brugernes webkameraer”.

I de seneste uger er der ligefrem opstået et fænomen kaldet ”Zoombombing”, hvor hackere tiltvinger sig adgang til Zoom-videokonferencer – angiveligt ved at udnytte en svaghed i skærmdelingsprogrammet. Måske mest for sjov, men det udstiller nogle af de alvorlige sikkerhedsmangler hos tjenesten.

Tracker din tilstedeværelse

Richie Koch, der arbejder for den schweiziske krypterede e-mailtjeneste Protonmail, har lavet en gennemgang af Zooms privatlivspolitik, og han har identificeret en række problematiske forhold, når det gælder tracking og beskyttelse af personlige data.

For det første peger Richie Koch på, at Zoom indeholder en tracker, der afslører dig, hvis du under videomødet er klikket væk fra videokonferencen i mere end 30 sekunder – for eksempel for at tage noter, læse en e-mail eller svare på spørgsmål fra en person på en anden platform. I de tilfælde sender Zoom automatisk en notifikation til mødelederen.

For det andet har mødelederen ifølge Protonmail også mulighed for at tænde en anden feature, så selve mødet bliver optaget og kan afspilles senere – uden mødedeltagernes vidende. Zoom gemmer også TXT-filer af de chatbeskeder, der er sendt mellem deltagerne under mødet.

Personlige oplysninger

For det tredje tracker Zoom ikke kun din aktivitet under mødet – den tracker også dig. Ifølge Richie Koch indsamler Zoom således oplysninger om dit navn, den fysiske adresse, din e-mailadresse, dit telefonnummer, din jobtitel og din arbejdsgiver.

Og selv om du ikke opretter en konto hos Zoom, så bliver din IP-adresse gemt, og hvis du er logget ind gennem din Facebook-profil, så indsamles der også informationer derfra. Det samme gælder alle informationer, som du uploader eller deler, mens du bruger Zoom.

”Vi anerkender, at hjemmearbejde kræver helt nye måder at arbejde på for både virksomheder, kontorer og ansatte. Men medarbejdernes privatliv må ikke blive ofret i den proces”, skriver Richie Koch i sin blog på protonmail.com.

Videregiver informationer

For det fjerde svarer Zoom særdeles kryptisk i sin Q&A på spørgsmålet om, hvor vidt de sælger personlige data videre. Svaret er, at ”det kommer an på, hvad du mener med at sælge”.

Ifølge Richie Kochs analyse kan Zooms privatlivspolitik koges ned til, at de hævder, at de ikke sælger personlige data for penge, men de deler personlige data med tredjepart for at imødekomme disse virksomheders ”forretningsformål”. Zoom angiver selv i sin privatlivspolitik, at de kan videregive dine personlige informationer til Google.

Data til Facebook

I sidste måned afslørede magasinet Vice, at Zooms Iphone app deler betydelige mængder af brugerdata med Facebook, selv om brugeren ikke har en Facebookkonto. Angiveligt har Zoom efterfølgende fjernet den kode, der sendte data til Facebook.

På samme måde afslørede it-sikkerhedseksperten Johnathan Leitschuch sidste år, at Zoom installerede en lokal webserver på brugernes Apple-computere, som tillod Zoom at forbigå et sikkerhedsprogram i Safari 12. Zooms webserver forhindrede simpelthen Safari i at vise et pop-up vindue, som normalt ville advare om, at computeren tændte for sit kamera.

Med fuldt overlæg

Afsløringen førte til en officiel klage fra Electronic Privacy Information Center, som beskyldte Zoom for ”med fuldt overlæg at designe sin webkonferenceservice til at forbigå sikkerhedsindstillingerne og fjernstyre en brugers webkamera uden at indhente tilladelse fra brugeren”.

Selv om Zoom nu har fjernet disse webservere, så har Zoom ifølge Protonmail en tvivlsom historik, når det handler om at beskytte brugernes privatliv og den generelle it-sikkerhed.

Brug alternativerne

Derfor er det værd at se sig om efter alternativer. PROSAs forbundssekretær Henrik Jacobsen forklarer, at PROSAs afdeling i det vestlige Danmark (PROSA/VEST) har haft stor succes med at benytte platformen Go To Meeting til at afholde videokonferencer gennem de seneste to år.

”Go To Meeting udemærker sig ved, at man som deltager ikke behøver at være en registreret bruger, så anonymiteten er høj. Samtidigt foregår alle forbindelserne via end-to-end krypterede forbindelser, som man ser i rigtig mange services i dag. Man skal derfor kun have én kendt bruger i systemet, og det er mødelederen, som man betaler en licens for at have”, siger Henrik Jacobsen.

Smidigt værktøj

Ifølge Henrik Jacobsen har Go To Meeting med den seneste opdatering forbedret oplevelsen og brugervenligheden gevaldigt.

”Det er blevet et smidigt værktøj, både i browseren, på desktop og i app’en på din android eller Iphone. Vi oplever en stabil service, også her under coronakrisen, hvor vi har brugt det til møder, hvor vi har set, at andre systemer har været meget mere belastet”, siger Henrik Jacobsen og understreger, at deltagerne ikke sender dokumenter via deres service.

"Det er selvfølgelig uhyrlig vigtigt, at man omgås sine data med påpasselighed og sikrer, at dokumenter kun bliver skubbet via sikre løsninger. Og hvis man ikke ønsker, at Go To Meeting kender ens ip-adresse, så hopper man på browser versionen via Tor", siger han.

Med en licens følger et møderum med op til 251 deltagere og et call-in nummer, hvis man skulle stå uden internet og kun kan komme på via telefonopkald, samt en platform, der kører i alle de store browsertyper, på de populære mobilsystemer og via desktopprogram.

Aflyttet

Der er dog ikke nogen garanti for, at der ikke er nogen, der lytter med på Go To Meetings, og som med alle andre løsninger i skyen kræver det tillid til leverandøren.

Ole Tange, der er it-politisk rådgiver i PROSA, fremhæver Edward Snowdens afsløringer af, at leverandører bliver tvunget til hemmeligt at give data videre – også selvom der er en juridisk aftale om, at de ikke må.
 
”Man kan spørge sig selv, at hvis man ikke vil tage truslen om aflytning alvorlig baseret på Snowdens afsløringer, hvad skal der så til, før man gør det?”, siger Ole Tange.

Den bedste løsning er ifølge Ole Tange at hoste videomøderne på egne servere. Hvis serveren pludselig sender data til nogen, som ikke er med i mødet, er det en indikation af, at andre lytter med.

”Hvis softwaren ovenikøbet er fri, så er det sværere for leverandøren at snige en bagdør ind. Derfor tester vi i øjeblikket Jitsi i PROSA. Men der findes også andre alternativer som for eksempel Spreed.me og Jami.net”, siger Ole Tange.

Flere alternativer

Netop open source-platformen Jitsi bliver anbefalet af blandt andre radioværten Anders Kjærulff og Tor Project, som står bag Tor-browseren. Anders Kjærulff er kendt fra Radio 24syv-programmet ”Aflyttet” og sender i øjeblikket nødradio fra sit hjem, men i denne uge afholdt han også webinar for PROSA via Jitsi. Og den oplevelse delte han på Twitter:

Der findes mange andre alternativer til Zoom. Senest har techmagasinet The Verge opdateret sin test af de forskellige videoplatforme – men denne gang uden at omtale Zoom.

”På det seneste er der dukket så mange spørgsmål op om Zooms sikkerhed, så vi har besluttet at køre vores test igen – denne gang uden Zoom. Til gengæld har vi tilføjet en række andre apps, du kan bruge i stedet”, skriver The Verge.

OPDATERING

Siden denne artikel blev offentliggjort, har flere amerikanske stater ifølge det amerikanske medie Politico kontaktet Zoom for at afkræve svar på en række spørgsmål om sikkerhed og privatlivsbeskyttelse.

Samtidig har Zooms øverste chef Eric S. Yuan i et blogindlæg redegjort for nogle af de udfordringer, som Zoom har oplevet under coronakrisen, hvor antallet af brugere er steget fra cirka 10 millioner daglige brugere til mere end 200 millioner daglige brugere.

"Det har været en kolossalt stor opgave at håndtere det store antal nye brugere, og det har været vores eneste fokus at understøtte det. Vi har kæmpet for at sikre, at vores service kører videre uden afbrydelser og giver den samme brugervenlige oplevelse, som har gjort Zoom til den foretrukne videokonferenceplatform for virksomheder over hele verden, mens vi også tager hånd om privatliv og sikkerhed. Vi erkender, at vi hverken har levet op til vores community's eller vores egne forventninger til privatlivsbeskyttelse og sikkerhed. Det beklager jeg dybt, og vi går nu i gang med at gøre noget ved det", skriver Eric S. Yuan.

Læs hele blogindlægget her

Hvis du benytter Zoom, så læs Protonmails anbefalinger her

Brug to devices under Zoom-møder: Hvis du deltager i en Zoom-konference på din computer, så brug din telefon til at tjekke e-mails eller chatte med andre mødedeltagere. På den måde udløser du ikke opmærksomheds-trackeren efter 30 sekunder.

Brug ikke Facebook til at logge ind: Det kan godt være, at de ter tidsbesparende at logge ind via Facebook, men du sætter din sikkerhed på spil, og du øger dramatisk mængden af data, som Zoom har adgang til.

Hold din Zoom app opdateret: Zoom har angiveligt fjernet brugen af lokale webservere fra deres seneste version, så sørg for at være opdateret.

Du kan læse hele Richie Kochs analyse her

På grund af GDPR udfordringer er kommentarmodulet midlertidigt deaktiveret.