Czat wideo to aktualnie konieczność. Sprawiła to konieczność ograniczenia kontaktów międzyludzkich „w realu”. Czy takie rozmowy są bezpieczne? Mozilla podsumowała regulaminy najpopularniejszych usług, by ocenić ich bezpieczeństwo.
Mozilla oceniła zasady bezpieczeństwa i poszanowania prywatności najpopularniejszych komunikatorów, które umożliwiają prowadzenie rozmów wideo. Ma to ułatwić nam wybór, jeśli zdecydujemy się na telekonferencję w pracy, rozmowę towarzyską lub zdalną wizytę u lekarza.
W sumie ocenionych zostało 15 aplikacji, z czego 12 pomyślnie przeszło podstawowy test Mozilli. Odpadły: Discord, Houseparty (należący do Epic Games) oraz Doxy.me. Szczególnie ten ostatni martwi – to aplikacja przeznaczona specjalnie dla telemedycyny.
Trzeba tez pamiętać, że niedawno wyszły na światło dzienne poważne wady zabezpieczeń komunikatora Zoom. Microsoft Teams zaś miał lukę, która pozwalała na atak na komunikator z użyciem GIF-a. Luka została już zabezpieczona, ale niektóre firmy i rządy zdecydowały, że nie będą korzystać z komunikatora Microsoftu. Oba jednak przeszły test Mozilli bez potknięć.
Fundacja sprawdzała 5 kluczowych cech, jakie musi mieć komunikator, by zapewnić nam podstawowe bezpieczeństwo. Są to:
W bardziej szczegółowych ocenach Mozilla sprawdza też, jak traktowane są doniesienia o lukach i jak użytkownicy są informowani o ryzyku wycieku danych. Pod uwagę brane były też takie parametry jak zgodność z prawem ochrony danych medycznych w USA czy powiadomienia o nagrywaniu rozmów.
Test pomyślnie przeszły komunikatory: Zoom, Google Hangouts (a przy okazji Meet oraz Duo), Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting i Cisco WebEx. Szczegółowy opis każdej z nich znajduje się w raporcie.
Dlaczego trzy aplikacje nie przeszły tego prostego testu? Discord i Houseparty poległy na tym samym polu – pozwalają ustawić zbyt proste hasła. To naraża konta użytkowników, a w efekcie także rozmowy grupowe.
Zobacz: Telegram dostanie rozmowy wideo
Zobacz: WhatsApp się nie popisał. Limit osób na wideoczacie podniesie do 8
Discord wymaga ustawienia hasła, które ma przynajmniej 6 znaków, ale nie ma wymagań dotyczących zawartości. W efekcie można ustawić hasło „111111”. To nie jest dobre hasło. Co więcej, jeśli komunikator będzie połączony z profilem w mediach społecznościowych, będzie pobierać z niej informacje i kontaktach. Houseparty wymaga przynajmniej 6 znaków i uważa, że „12345” to świetne hasło.
Doxy.me jest kierowany do pacjentów i personelu medycznego i spełnia wymagania różnych aktów prawnych (w tym RODO), ale to nie gwarantuje bezpieczeństwa. Aplikacja działa tylko w przeglądarce, więc to użytkownik musi zadbać o aktualizacje i bezpieczeństwo. Ponadto Doxy.me nie wymaga, by pacjent miał hasło i nie ma możliwości włączenia autoryzacji dwuetapowej nawet dla lekarzy. To dość dziwny stan rzeczy w aplikacji przeznaczonej dla służby zdrowia.
Na wszelki wypadek znów przypomnę, że warto włączyć autoryzację dwuetapową na swoich kontach i weryfikować uczestników rozmów. Warto też rozejrzeć się za komunikatorem, który szyfruje rozmowy metodą end-to-end – wtedy nawet dostawcy usług nie mają dostępu do naszych rozmów. Zapewniają to między innymi Signal, Jitsi Meet, GoToMeeting, Cisco Webex i WhatsApp.
Źródło tekstu: Mozilla, wł.
