Hoe veilig is Zoom?
In onze tip over Zoom gebruiken voor vergaderingen en onderwijs hebben we al een waarschuwing opgenomen over privacy. Toch krijgen we op de iCulture-redactie nog steeds vragen of Zoom wel geschikt is om bijvoorbeeld cliëntgegevens uit te wisselen als je bijvoorbeeld in een zorginstelling werkt. Het korte antwoord daarop is nee. Zoom is niet de beste oplossing als je privacy en beveiliging belangrijk vindt, al zijn er gaandeweg wel verbeteringen doorgevoerd.
- Lekken van gegevens
- Windows-wachtwoord
- Geen end-to-end encryptie
- Dubieuze Mac-installer
- ‘Iedereen gebruikt het’
- Waarom onveilig?
- Wat kun je doen?
Zoom heeft de afgelopen maanden grote stappen gemaakt om de beveiliging aan te passen en te voorkomen dat iemand zomaar kan inbreken bij een vergadering. Toch zijn er betere oplossingen, zoals FaceTime voor privégesprekken en Jitsi voor vergaderingen. Werk je bij een organisatie waar met vertrouwelijke (klant)gegevens wordt gewerkt, dan is er vaak specifieke software voorgeschreven en is Zoom niet de eerste keuze.
In onze gids over apps voor videobellen vind je deze en meer alternatieven. Let op dat grote namen zoals Microsoft en Google ook niet altijd een garantie zijn dat het wel goed zit, want beide bedrijven hebben in het verleden data verzameld en voldeden niet aan de GDPR/AVG.
Lekken van gegevens
Zoom heeft in het verleden persoonlijke gegevens zoals e-mailadres en foto’s aan onbekenden gelekt. Dat had te maken met de functie Company Directory. Deze functie voegde andere gebruikers automatisch toe aan jouw contactenlijst. Stel je logt in met je e-mailadres naam@mijnbedrijf.nl, dan worden ook je collega’s met het e-mailaccount @mijnbedrijf.nl toegevoegd aan jouw contactenlijst. Door een bug gebeurde dit ook voor privé-adressen, bijvoorbeeld als je je aanmeldde met een Ziggo e-mailaccount. Op de iCulture-redactie kregen we meldingen van gebruikers die ineens duizenden contacten haden, omdat zij zich hadden aangemeld met hetzelfde domeinnaam. Als er een profielfoto aan het account gebonden is, zag je deze ook direct in je contactenlijst.
Gebruikers kregen daardoor ineens een contactenlijst van duizenden mensen die ze helemaal niet kenden. Dit kan bijvoorbeeld ook gebeuren als je je aanmeldt met een e-mailadres via je provider, zoals een Ziggo e-mailaccount. In een reactie aan Motherboard liet Zoom weten dat ze nieuwe domeinen toegevoegd hebben aan een zwarte lijst, waardoor gebruikers niet meer automatisch de mailadressen van andere mensen toevoegt met hetzelfde domein (bijvoorbeeld Ziggo). Maar voor wie zich al eerder had aangemeld zit er niets anders op dan het adresboek doorspitten op zoek naar mensen die je niet kent.
Windows-wachtwoord lekken
Beveiligingsonderzoeker @_g0dmode deelde op Twitter een ander lek in Zoom. Gebruikers kunnen een link delen die leidt naar een bestand op je computer. Een aanvaller kan bijvoorbeeld een link naar een geïnfecteerde server delen. Zodra je hierop klikt, verstuurt Windows je logingegevens automatisch naar de aanvaller. Op zo’n zelfde manier kan een aanvaller malafide programma’s op je computer installeren.
Geen end-to-end versleuteling
Volgens de makers van Zoom worden de videochats met end-to-end encryptie versleuteld zijn. Dat bleek in het begin echter niet het geval te zijn, ontdekte The Intercept. Het is niet zo dat de volledige video van verzender tot ontvanger versleuteld is. In plaats daarvan is alleen het transport tussen verzender en ontvanger beveiligd. Zoom is echter in staat om de videochats te bekijken en de audio te beluisteren.
Volgens The Intercept hanteerde Zoom daarbij een eigen definitie van wat ‘end-to-end encryptie’ is. Inmiddels heeft Zoom dit probleem opgelost.
Dubieuze Mac-installer
Een ander probleem van Zoom was dat de app op de Mac Apple’s beveiliging omzeilde. Daarbij werd gebruik gemaakt van pre-installatiescripts. Ook kreeg je een neppe macOS-systeemmelding te zien. Op die manier kon de Mac-app geïnstalleerd worden zonder dat je zelf op een installatieknop had geklikt. De app werd op de achtergrond uitgepakt en in de map /Programma’s geïnstalleerd. Dit werkte overigens alleen als de gebruiker admin-rechten op de machine heeft.
Technisch malware-onderzoeker @c1truz_ noemt het ‘schimmig’ en vindt dat het een rare nasmaak geeft. “De applicatie wordt geïnstalleerd zonder dat de gebruiker zijn of haar uiteindelijke toestemming geeft en er wordt een misleidend scherm getoond om rootrechten te krijgen.” Hij vervolgt: “Dit zijn dezelfde trucs die door macOS malware worden gebruikt”.
Eerder moest Apple ook al een macOS-update uitbrengen omdat Zoom de beveiliging omzeilde. Daarbij bleek het mogelijk om op afstand de camera van de gebruiker in te schakelen, zonder toestemming. Zoom verdedigde zich toen met de opmerking dat ze videobellen gemakkelijker wilde maken voor gebruikers. Later werd de functie toch verwijderd.
‘Maar iedereen gebruikt het! Je vraagt je misschien af waar om zoveel mensen Zoom momenteel gebruiken. Als het zo populair is, moet het toch wel goed zijn? Zoals wel vaker, is de meestgebruikte oplossing niet altijd de beste. Soms ben je door groepsdruk gedwongen om een bepaalde app te gebruiken, terwijl een alternatief eigenlijk privacyvriendelijker is en meer pluspunten heeft. Dit is bijvoorbeeld ook het geval bij WhatsApp en Facebook: veel mensen zouden willen opstappen, maar kunnen niet echt.
Zoom is op een soortgelijke manier populair geworden: iedereen gebruikt het, dus “het zal wel goed zijn”. Mensen die wat kritischer naar de privacyvoorwaarden hebben gekeken lopen tegen een andere muur aan: je kunt er bijna niet omheen. Zeker als een andere persoon of instantie (bijvoorbeeld jouw werkgever) de keuze al heeft gemaakt om Zoom te gebruiken is het lastig om iedereen over te halen om een veiliger, open source-alternatief met encryptie te gebruiken, waar nog bijna niemand van heeft gehoord.
Waarom is Zoom niet veilig?
Zoom had in maart 2020 te maken met een beveiligingsincident toen bleek dat het ongevraagd gebruikersgegevens met Facebook deelde. Ook dat is inmiddels opgelost, maar wat gebeurt er met data die al eerder door Zoom is verzameld en doorgestuurd? Gaat Facebook dit verwijderen of gewoon gebruiken? En het privacybeleid van Zoom maakt het nog steeds mogelijk om data te verzamelen.
Zoom was ook al eerder in het nieuws omdat het mogelijk bleek om in te breken op de Mac-camera. Ook dit is opgelost.
De losse incidenten zijn weliswaar opgelost, maar het werkelijke probleem zit iets dieper.
De Electronic Frontier Foundation wijst op verdergaande privacyrisico’s door gebruik van Zoom. De organisatie wil gebruikers waarschuwen dat als de de tool willen gebruiken voor studie en vergaderingen. Zij zien twee grote problemen: de data die Zoom zelf verzamelt en de data die beheerders in handen krijgen. Daarnaast is er nog een derde probleem.
Probleem #1: Zoom verzamelt data
Zoom verzamelt allerlei data van de gebruikers, zoals name, adresgegevens, e-mailadres, telefoonnummer, beroep en werkgever. Ook als je geen account bij Zoom aanmaakt verzamelt het bedrijf gegevens van gebruikers, zoals IP-adres. Log je in met je Facebook-account, dan verzamelt Zoom ook hierover de gegevens. EFF raadt dan ook af om met een Facebook-account in te loggen. Het eerder genoemde probleem van data delen met Facebook is inmiddels opgelost in de iOS-app, maar Zoom kan alsnog data van deelnemers verzamelen. In de privacyvoorwaarden geef je namelijk toestemming voor het verzamelen en opslaan van persoonlijke informatie over de activiteiten. Die informatie mag gedeeld worden met externe partijen.
Probleem #2: Beheerders kunnen meekijken en data inzien
De beheerder van een Zoom-meeting kan tijdens het delen van het scherm de activiteiten van de deelnemers in de gaten houden, zo waarschuwt EFF. Beheerders kunnen zien hoe, wanneer en waar de deelnemers van Zoom gebruik maken. Ook ziet een beheerder apparaatgegevens zoals het merk en type, besturingssysteem, IP-adres en locatiegegevens. Verder kan een beheerder op afstand de microfoon van een deelnemer inschakelen.
Een beheerder kan op elk moment deelnemen aan gesprekken die door gebruikers zijn gestart, zonder dat anderen daarvoor toestemming moeten geven of een waarschuwing krijgen. Dit kan bijvoorbeeld een probleem zijn in organisaties, waarbij medewerkers een onderling ‘roddelgroepje’ hebben opgezet. De werkgever of iemand van buiten de groep die beheerder is, kan dan ongemerkt meekijken.
Het feit dat beheerders toegang hebben tot allerlei data kan ook een probleem zijn als medewerkers van meerdere bedrijven onderling met elkaar moeten overleggen. Het ene bedrijf kan dan concurrentiegevoelige data in handen krijgen van het andere bedrijf.
Als je vindt dat EFF misschien te veel een ‘privacy-agenda’ heeft, dan kun je ook bij Consumer Reports soortgelijke zorgen lezen: Zoom is niet veilig.
Daarnaast is er onduidelijkheid in hoeverre Zoom voldoet aan GDPR/AVG. In de betaalde versie zou dat het geval zijn, maar in de gratis versie niet.
Hoe gebruik je Zoom veiliger?
Ben je toch gedwongen om Zoom te gebruiken, bijvoorbeeld omdat jouw werkgever geen andere oplossing biedt, dan zijn er een aantal oplossingen die het gebruik veiliger maken. Toch moet je er dan rekening mee blijven houden dat Zoom nog niet 100% veilig is.
- Log niet in met je FaceBook-account, maar gebruik de app anoniem.
- Gebruik Zoom op een apart device, bijvoorbeeld een iPad. Je kunt dan op een ander device je e-mail en andere apps raadplegen, zonder dat de beheerder een melding krijgt dat je bent ‘weggezoomd’.
- Gebruik een speciaal device, waarop geen privacygevoelige gegevens staan. Schakel functies zoals locatiedelen zoveel mogelijk uit.
- Deel je Zoom-link niet op sociale media, want dan loop je kans op ‘Zoom-bombing’ door trollen.
- Stel een ander achtergrondje in, zodat anderen niet je privé-omgeving kunnen zien.
- Update de Zoom-app: Zoom heeft de remote webserver verwijderd uit recentere versie van de app, maar dan moet je natuurlijk wel updaten.
- Gebruik geen Zoom, maar FaceTime, Jitsi of een ander veiliger alternatief. Probeer collega’s ervan te overtuigen om iets anders te gebruiken (voorzover dat lukt).
De makers van ProtonMail hebben nog meer tips over het veiliger gebruiken van Zoom.
Heb je aanvullingen op dit artikel, die een verder gaan dan het aanbevelen van Jitsi dan ontvangen we die natuurlijk graag via de link onder dit artikel!
Verder lezen:
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!