Coronavirus-pandemien har skiftet global arbejdsstyrke til eksterne opsætninger og videokonference-apps såsom Zoom og Microsoft Teams, men ikke alle disse løsninger får bestået karakterer, når det kommer til sikkerhed, ifølge en rapport fra Mozilla Foundation.
Af de 15 applikationer, der blev testet af Mozilla, opfyldte 12 sine fem-punkts minimums sikkerhedsstandarder: Zoom, Google Hangouts, Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting og Cisco WebEx.
Disse standarder inkluderer brug af kryptering, tilvejebringelse af sikkerhedsopdateringer, kræver stærke adgangskoder, styring af sårbarheder og med en privatlivspolitik.
”Lige nu bruger et rekordantal mennesker videoopkaldsapps til at drive forretning, undervise, mødes med læger og holde kontakten med venner.
Det er vigtigere end nogensinde for denne teknologi at være pålidelig - men mange apps respekterer ikke altid brugernes privatliv og sikkerhed, ”sagde Ashley Boyd, Mozillas VP of Advocacy, i en erklæring.
Hus fest
Houseparty, den populære app til videochats fra Epic Games, firmaet bag Fortnite, fik en 4 ud af 5 på Mozillas mindste sikkerhedsstandarder; det blev snoet på manglen på et stærkt adgangskodekrav.
Det ser også ud til at være et personligt vakuum "og giver ikke en måde at begrænse meget af den dataindsamling på." Blokering af cookies kan forhindre Chrome-udvidelsen i at fungere korrekt, [though] du kan stoppe placeringsdeling og andre tilladelser på app-niveau og stadig bruge appen, "siger Mozilla.
I en erklæring siger Houseparty, at det "opretholder branchens pålidelige kryptering og sikkerhedsforanstaltninger for at beskytte kundedata.
Vi gennemgår løbende og forbedrer sikkerhedspraksis hos Houseparty og minder alle vores brugere om, at det er en bedste praksis at bruge stærke adgangskoder."
Uenighed
Discord havde et lignende rapportkort, der tjente en 4 ud af 5, men fik en lavere karakter på adgangskodestyrke og dataindsamling.
Men “det største problem med Discord er dens historie med giftige samfund, chikane og rovdyr," skriver Mozilla.
"At blive suget ind i alt-højre had, ved et uheld snuble over en porno-ring eller blive chikaneret af kvindehadede spillere er alle reelle bekymringer for folk på Discord, som ikke er forsigtige.
”
Discord siger, at det "i øjeblikket arbejder med Mozilla for at sikre, at de har alle oplysninger om vores fortroligheds- og sikkerhedsfunktioner." Virksomheden har allerede opdateret sine indstillinger for at blokere svage adgangskoder samt adgangskoder, der har været involveret i et andet databrud.
Ved dataindsamling siger Discord, at det indsamler "nogle data til værktøjer som Google Analytics og andre almindeligt anvendte tredjeparter, men vi tjener ikke penge på nogen data.
Vi tjener ingen penge via reklame eller deler disse data med tredjeparter, der ser til drage fordel af oplysningerne fra vores brugere.
Vores forretningsmodel er udelukkende baseret på abonnementer.
"
Med hensyn til giftige brugere siger Discord, at det har en "nultolerance for ulovlig aktivitet på vores platform og træffer øjeblikkelig handling, når vi bliver opmærksomme på det, herunder forbud mod brugere, nedlukning af servere og rapportering til retshåndhævende enheder.
Vi overvåger proaktivt til servere og brugere, der bryder vores retningslinjer for samfundet eller deltager i ulovlig aktivitet.
" Ideen om, at du kan snuble i servere, der er relateret til ulovlig aktivitet, er i mellemtiden "åbenlyst falsk," står der.
Doxy.me
I mellemtiden blev Doxy.me, en populær telemedicinsk platform, kritiseret for ikke at kræve stærke adgangskoder eller give tofaktorautentificering.
"Der er heller ikke noget krav om at bevise, at du er den egentlige patient, der skal deltage i opkaldet, hvilket betyder, at læger eller terapeuter, der ikke har et tidligere etableret forhold til en patient, muligvis ikke ved, om den person, der tilmelder sig deres virtuelle aftale, er virkelig hvem de siger, de er, "bemærker Mozilla.
Anbefalet af vores redaktører
I en erklæring siger Pat Thompson, en sikkerhedsanalytiker hos Doxy.me: ”Udbydere har fuld kontrol over, hvem de mødes med, men de samme godkendelsesprocesser gælder for online sundhedsudnævnelser som de gør for personlige besøg.
Mange udbydere godkender allerede, at de taler med den rigtige patient ved at verificere et ID-kort eller bede patienten om at bekræfte deres fulde navn og fødselsdato.
Vi lagrer ikke patientoplysninger for at øge sikkerheden, og udbydere er klar over, at det er deres ansvar at godkende patienten i overensstemmelse med deres virksomhed og overholdelsespolitikker.
“
Virksomheden anerkender, at det ikke har et minimumskodeord for adgangskoder for udbydere, men siger, at det underretter dem om styrken af ??deres adgangskoder.
De, der ønsker multifaktorautentificering, kan bruge "den sociale login-evne, der leveres af Google og Facebook og udbydere på vores klinikabonnement, har mulighed for at integrere deres egen IdP med SAML og stole på eksisterende virksomhedsadgangs- og godkendelsespolitikker," siger Thompson.
”På grund af regelmæssig penetrationstest, uafhængige sikkerhedsforskere og interne revisioner har doxy.me allerede revideret deres adgangs- og godkendelseskontrol, som inkluderer indstilling af minimumslængde og kompleksitetskrav til adgangskoder.
En række ændringer er i udviklingspipelinen på dette tidspunkt.
”
Hvad med zoom?
Andre apps, der har lidt af slap sikkerhed, inkluderer Zoom, men Mozilla gav sin videoopkaldsprogram høje karakterer.
”Zoom er blevet højlydt kritiseret for privatlivets fred og sikkerhedsfejl.
Fordi der er mange andre muligheder for videoopkaldsapp derude, handlede Zoom hurtigt for at tackle deres mange privatlivs- og sikkerhedsproblemer.
Dette er ikke noget, vi nødvendigvis ser med virksomheder som Facebook, der ikke har en ægte konkurrent, ”siger Mozilla.
Men selvom mange andre virksomheder opfyldte Mozillas minimumsstandarder, betyder det ikke, at de er helt brugervenlige.
Mozillas standarder kræver for eksempel kun, at en virksomhed har en fortrolighedspolitik, men selvfølgelig er det kun få, der læser dem.
