Wildix vs. Zoom: En kraftmätning i säkerhet

Mitt i den plötsliga efterfrågan av smart arbete, så finns det ett alternativ som blivit populärt bland bokstavligen miljontals konsumenter. Det handlar om Zoom. Med strålkastarna på sig har denna app med freemium-videokonferenser dragit till sig mycket uppmärksamhet — men inte alltid av de bästa anledningarna.

Förklaringen till Zooms popularitet beror mest troligt på att den gör det den utlovar: den tillhandahåller ett snabbt, tillgängligt sätt att ansluta människor via video (om än utan att tillhandahålla den grad av kryptering den utlovar från början till slut).

I en perfekt värld skulle det vara allt en slutanvändare behöver i en webbkonferens-app. Men problemet är att vi lever i en värld full av säkerhets- och integritetshot.

Det innebär att Zoom utgör enorma problem för både företag och individer. För i slutändan gör Zoom väldigt lite för att hålla dig säker från dessa hot. Faktum är att de till och med gör mycket för att göra dig mer exponerad för dem.

Låt oss titta närmre på alla de sätt som Zoom gör fel inom säkerhet och integritet — och vad Wildix gör istället.

Osäkert, inifrån och ut

Ett välkänt kryphål i Zoom är möjligheten för främlingar att oinbjudna ansluta till videomöten. Faktum är att denna praxis är så vanlig att den till och med fått sitt eget namn: “Zoombombing,” en term som till och med FBI har erkänt efter att ha behövt kliva in och varna för sådana attacker.

Denna fråga har väckt uppmärksamhet på grund av de chockerande störningarna som Zoombombers orsakar: genom att skrika oanständigheter eller till och med skärmdela sexuellt material har de som mål att störa deltagare så mycket som möjligt och göra att deras trakasserier är det enda deltagarna kan fokusera på.

Dessa intrång har gjorts möjliga till stor del på grund av Zooms slapphänta inställning till konferenssäkerhet. Det stora problemet är att samtliga Zooms konferens-webbadresser använder en enkel nio- till elvasiffrig kod, vilket gör det enkelt för skadliga personer att ta sig in i ett konferensrum via brute force-hackande — det innebär att Zoomkonferenser enkelt kan störas även om konferensinbjudan är hemlig. Något som komplicerar saker och ting ytterligare är att fram till nyligen har Zooms förebyggande åtgärder mot sådana störningar, såsom lösenordslås och väntrum, som standard varit avstängt.

Allt detta tyder på att Zoombombing inte är ett resultat av användarfel, utan av dålig design. Ett programs säkerhet är praktiskt sett bara så pass bra som den genomsnittliga slutanvändaren kan förväntas hantera det. Följaktligen är det essentiellt att kommunikationsmjukvaror är säkra automatiskt, utan behovet av oändliga användarmanualer och videohandledningar.

Men det vi ser i Zoom är precis tvärtom. Istället för att programmet säkerställer att användare är säkra, så gör programmet så att det blir användarens ansvar att förstå plattformen i detalj eller annars bli föremål för säkerhetsintrång.

Zooms dåliga design är ännu tydligare i applikationens ganska udda val att använda förinstallationsverktyg i sin Apple-mjukvara. Denna kod, som säkerhetsexperter har avslöjat, gör det möjligt för Zoom att installera sig själv på macOS utan användarens tillstånd — och, sådant ser man vanligtvis i skadlig programvara, inte i webbkonferensverktyg.

Detta är ett problem, inte för att Zoom i sig själv är skadligt, utan för att det kan bli en omedveten medbrottsling för skadlig programvara. Tack vare förinstallationen och de behörigheter du ger till appen, kan Zoom utnyttjas av virus som ett sätt att spela in dig utan din vetskap.

Ja — med Zoom på en Macbook, är det faktiskt enklare för skadlig programvara att kapa din webbkamera och mikrofon.

Samtidigt är dessa sårbarheter faktiskt obefintliga med Wildix.

Först och främst är problemet med att oönskade gäster dyker upp på en konferens löst automatiskt tack vare en mer komplex alfanumerisk webbadress. Genom att inkludera både slumpmässiga bokstäver och siffror i konferensens webbadress, gör plattformen automatiskt det svårare för inkräktare att delta (än mindre störa) en konferens.

När det gäller skadliga program så är det problemet löst via webbläsarbaserad design. Genom att köra via WebRTC, kräver Wildix ditt uttryckliga tillstånd att använda din mikrofon och webbkamera från nya webbdomäner. Men desto viktigare, programmet är exceptionellt svårt att hacka sig in i från första början tack vare den nästan ogenomträngliga designen från WebRTC.

När det gäller säkerhet arbetar Wildix effektivt och transparent från början.

Samtidigt använder Zoom en design som missleder användarna om dess säkerhetsåtgärder.

En inte så privat telefonväxel

Zooms hemlighetsfulla tillvägagångssätt för dess funktionalitet har även omfattat deras integritetspolicy, som cybersäkerhetsexperten Doc Searls beskrivit som “obehagligt vänlig” för annonsspårningsföretag.

Enligt ett klagomål från Consumer Reports, tillät Zooms integritetspolicy som funnits länge att mjukvaran inte bara lagrade den data den samlade in under en videokonferens, vilket inkluderar allt från ditt ansikte till föremålen i bakgrunden i ditt samtal, utan även säljer din data till marknadsföringssektorn.

Även om denna praxis tack och lov har avslutats med Zooms senaste integritetspolicy, så är det fortfarande oroande varför en sådan policy över huvud taget var inkluderad, med tanke på att en kompetent webbkonferensutvecklare borde tjäna pengar på sin egen mjukvara, inte genom att utvinna data.

Än mer oroande är hur Zoom hanterar videoinspelningar av konferenser. Washington Post avslöjade att när Zoom lagrar en inspelad konferens, så är tjänstens standard att spara filen på en offentlig webbadress — så offentlig, att Zooms inspelningar kan hittas via en enkel sökning på Google.

Som standard, lägger Zoom bokstavligt talat ut konferenser för hela internet, och således hela världen att se. Trots att användarinställningar och anpassade namn kan addera ett extra lager av integritet på dessa inspelningar, så är det likväl otroligt att en sådan säkerhetsbrist ens är möjlig.

Mer oroande är dock fortfarande det att ditt Zoom-konto kanske inte är säkert ens om du hoppar över att spela in dina konferenser. Sedan januari 2020 och framåt har databaser innehållande kontonamn och lösenord på Zoom cirkulerat och sålts på dark web. Eftersom Zoom fick allt fler användare, har databasen bara vuxit sig större och blivit mer värdefull för hackare, vilket innebär att det finns en större anledning för att nya konton ska exponeras.

Med Wildix är dessa integritetsfrågor direkt obefintliga. Wildix lagrar inte någon videokommunikation i annonsspårningssyfte — faktum är, att eftersom appen fungerar direkt från webbläsare till webbläsare, är det omöjligt att avbryta eller spara sådan data, till och med för Wildix tekniker. Inspelade konferenser är även privata som standard då de har givits en komplex, slumpmässigt genererar webbadress som är otillgänglig för den utomstående webben.

Återigen är integritet en inbyggd automatisk standard med Wildix. Med Zoom är ansvaret för att skydda integriteten ännu en gång helt överfört till slutanvändaren.

Sakerna att ta med sig

Till Zooms erkännande har företaget tagit aktiva åtgärder gällande sitt systems brister. Från den 1 april 2020 — inte långt efter att det genomförts en utredning av New York Attorney General — meddelade de att de skulle avbryta funktionsuppdateringar i 90 dagar för att fokusera på befintliga säkerhetsproblem.

Detta meddelande kom i en ursäkt för Zooms säkerhetsbrister, utfärdat av företagets VD, Eric Yuan, som även betonade varför produkten över huvud taget släpptes med sådana defekter. I inlägget säger Yuan att antalet aktiva användare på plattformen ”kraftigt överträffat” vad företaget någonsin förväntat sig att vara värd för, och att Zoom “primärt var byggt för företagskunder – stora institutioner med full IT-support.”

Yuan har helt klart rätt, men mer genom utelämnande än antagande. Med alla säkerhetsproblem som har kommit fram, kanske det är lämpligt att säga att Zoom endast borde användas tillsammans med ett internt tekniskt team — under förutsättning att nämnda team är tillräckligt stort för att kunna avsätta stor del av sina arbetstimmar till underhåll av programmet.

Givetvis är den underliggande innebörden av denna punkt lik viktig: för små till mellanstora företag, och till och med för individer är Zoom inte en lönsam, specialbyggd lösning.

Detta verkar vara en slutsats som delas av New York Citys offentliga skolor, som nu lämnar plattformen, och av den självbeskrivna “allmänt intresse-teknologen” Bruce Schneier, som skrev om mjukvarans problem i längden. Datavetenskapsprofessorn Arvind Narayanan på Princeton kallar samtidigt Zoom för ett “skadligt program”.

Om det finns något att ta med sig från de här exemplen, så är det att säkerhet måste integreras i kommunikationsplattformar. Då användarfel garanterat kommer att inträffa, måste säkerheten alltid vara aktiv i lösningen, inte något som man lättvindigt kan sätta på eller stänga av.

Vi har ofta pratat om hur att vara säker via design är en integrerad del av Wildix lösning. Med Wildix är säkerhet inte bara en inställning som du måste sätta igång på rätt sätt annars exponeras du för hot — säkerheten arbetar automatiskt så snart du börjar använda plattformen. Här finns det inget behov av att välja mellan bekvämlighet och säkerhet, för Wildix ger dig båda delar.

Faktum är att det vi sett är att ingenting gör en lösning mer obekväm än en säkerhetsbrist. Som Zooms exempel visar, när du förlorar säkerheten, förlorar du användbarheten.

Trots allt, ingen lösning är mindre användbar än en som riskerar både dig och din organisation.

Nedbrytning

Wildix Zoom
Videokonferenser endast för inbjudna På som standard Valbart
Nedladdningsbara inspelningar På som standard Valbart
Konferens-webbadresser Alfanumeriska (fler kombinationer, svårare att gissa) Endast numeriska (färre kombinationer, lättare att gissa)
Sparka ut eller tysta konferensdeltagare Ja Ja
Inspelade konferenser Endast privat Offentligt eller privat
Installation Ingen, används i webbläsare Använder förinstallerade utnyttjanden för att spara klick
Åtkomst till webbkamera och mikrofon Ges endast till Wildix i webbläsarens app Ges till den fristående Zoom-appen och alla program som har åtkomst till den
1 Star2 Stars3 Stars4 Stars5 Stars (9 votes, average: 4,00 out of 5)
Loading...
Social Sharing
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *