Zoom resuelve los cargos de la FTC por engañar a los usuarios sobre las características de seguridad



El fabricante de software de videoconferencia Zoom ha llegado a un acuerdo hoy con la Comisión Federal de Comercio de los EE. UU. Para resolver las acusaciones de que engañó a los usuarios sobre algunas de sus funciones de seguridad. La FTC dijo que a principios de este año, durante el apogeo de la pandemia de COVID-19, Zoom había atraído a los usuarios a su plataforma con afirmaciones engañosas de que su producto admitía "cifrado de extremo a extremo de 256 bits" y que su servicio almacenaría llamadas grabadas en formato cifrado. Sin embargo, en una denuncia [PDF] presentada a principios de este año, los investigadores de la FTC encontraron que las afirmaciones de Zoom eran engañosas.
En primer lugar, la FTC descubrió que, a pesar de afirmar que admite llamadas cifradas de extremo a extremo (E2EE), Zoom no admitía llamadas E2EE en el significado clásico de la palabra. Las llamadas E2EE se basan en establecer una llamada entre dos usuarios y guardar la clave criptográfica utilizada para cifrar la llamada en los dispositivos de esos dos usuarios. Pero la FTC dice que Zoom también guardó una copia de la clave para sí mismo, lo que le permitió interceptar las comunicaciones de todos sus clientes.
En segundo lugar, la FTC también descubrió que algunos Zoom tampoco encriptaban las llamadas grabadas, como afirmó. En cambio, las llamadas grabadas se mantuvieron sin cifrar en los servidores de Zoom hasta por 60 días antes de ser cifradas y transferidas a un servidor seguro, tiempo durante el cual Zoom y otras partes podían acceder a su contenido. "Las afirmaciones engañosas de Zoom dieron a los usuarios una falsa sensación de seguridad, [.
..] especialmente para aquellos que usaban la plataforma de la compañía para discutir temas sensibles como la salud y la información financiera", dijo la FTC en un comunicado de prensa de hoy. < br> "En numerosas publicaciones de blog, Zoom promocionó específicamente su nivel de cifrado como una razón para que los clientes y clientes potenciales utilicen los servicios de videoconferencia de Zoom", agregó la agencia. Además, la FTC dijo que también descubrió que Zoom también había cometido un error en el diseño de su software en 2019, incluso antes de la pandemia, cuando instaló silenciosamente un servidor web en las computadoras de los usuarios de macOS. Este servidor web, que no se reveló en el registro de cambios oficial del cliente Zoom Mac, actuó como un proxy entre Safari y la aplicación Zoom para permitir a los usuarios de Safari abrir la aplicación Zoom sin activar una alerta de seguridad en su sistema operativo.
Como se argumentó en ese momento, si bien el servidor era benigno, no fue una decisión de diseño segura y podría haber sido abusado por aplicaciones de terceros o atacantes para comprometer los sistemas macOS. La mayoría de los problemas que Zoom acordó hoy ya se han solucionado o implementado como parte de un maratón de tres meses, durante el cual el liderazgo de Zoom se centró en mejorar la postura de seguridad de la empresa, que también incluyó la contratación de un Director de Seguridad de la Información (CISO). < br> "Estamos orgullosos de los avances que hemos realizado en nuestra plataforma y ya hemos abordado los problemas identificados por la FTC", dijo un portavoz de Zoom a ZDNet. "La resolución de hoy con la FTC está en consonancia con nuestro compromiso de innovar y mejorar nuestro producto a medida que ofrecemos una experiencia de comunicaciones de video segura". No obstante, como parte de su acuerdo con la FTC, Zoom también ha prometido: El acuerdo [PDF] no incluía una multa.
pag VER GALERIA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı