Yttrande: Zooms hantering av avslöjande av sårbarhet belyser den mörka sidan av felaktiga NDA: er

Trots en organisations bästa ansträngningar för att producera en tjänst som fungerar felfritt och är säker kan programvarufel uppstå och vissa är mer allvarliga än andra.

Ibland kan dessa buggar inte upptäckas även av de mest erfarna säkerhetsteamen, vilket kan leda till en produkt som äventyrar användarnas digitala säkerhet och lämnar dem utsatta för cyberattacker. Många företag inrättar program för bountybounty för att anmäla cybersecurity-forskare för att hjälpa dem att hitta sårbarheter som kan lura oupptäckta i deras system.

I huvudsak hackar forskaren (etiskt) in i leverantörens system för att försöka utnyttja eventuella sårbarheter som kan existera. Om forskaren upptäcker en sårbarhet som utgör en tillräckligt stor risk, kan forskaren samla in en bounty som är värd hundratals dollar, eller till och med hundratusentals dollar, beroende på svårighetsgraden av felet som upptäckts. Buggjägare fungerar ofta som de osungna hjältarna inom cybersäkerhet och håller organisationer ansvariga för att säkerställa den digitala säkerheten för konsumenterna.

Vad händer emellertid när en organisation är oenig med cybersecurity-forskaren om svårighetsgraden av en sårbarhet som upptäckts av forskaren? Vad händer när en organisation försöker undvika ansvarsskyldighet genom att förbjuda forskaren att offentliggöra sina eller hennes resultat eller bara samtycker till att betala en felavtal under förutsättning att forskaren förblir tyst om en sårbarhet? När detta händer kan konsumenternas digitala säkerhet och personliga integritet allvarligt äventyras.

Bounty-program är viktiga för att hålla de system som kör programvaran och applikationer som konsumenterna använder varje dag säkert och fungerar korrekt. De stimulerar cybersecurity-forskare och etiska hackare för att komma fram och hitta sårbarheter. Det är uppenbart att kräva att bountyjägare ska underteckna ett icke-avslöjande avtal (NDA) också är ett viktigt och effektivt sätt att förhindra att eventuellt allvarliga sårbarheter utsätts offentligt och utnyttjas innan de lappas.

Som sagt, NDA-bestämmelser som hindrar en forskare från att någonsin offentliggöra en sårbarhet kan till exempel ge ett litet incitament för ett företag att ordentligt hantera felet, vilket lämnar användare utsatta för olika cyberhot.

Säkerhetsforskare och bountyjägare gör ett bra jobb med att hålla företag ansvariga för att hålla sina användare säkra. Men när företag deltar i tvivelaktiga NDA-taktiker med säkerhetsforskare för att kjolar det ansvaret, kan användarsäkerhet utsättas för väsentlig risk.

Mot bakgrund av den senaste vågen av högprofilerade dataintrång och stora säkerhetsövervakningar som involverar några av de största namnen inom teknik, förtjänar allmänheten mycket större ansvarsskyldighet från företagen som de anförtros sin information. Lagstiftare över hela världen har börjat slå ner branschen och har utarbetat lagstiftning som syftar till att skydda konsumenterna medan de håller tekniska företag ansvariga för hur de hanterar känslig information. De bästa branschcheferna som Facebooks Mark Zuckerberg, Microsofts Bill Gates och Apples Tim Cook har alla erkänt behovet av bättre skydd mot konsumentens integritet samt en större känsla av ansvar för företag. Samtidigt har konsumenterna blivit allt mer otroande över hur företag hanterar sina privata uppgifter.

Med tanke på denna trend är Zooms hantering av en cybersecurity-forskares ansvarsfulla avslöjande av flera allvarliga sårbarheter i dess videokonferensapplikation förbryllande. I mars kontaktade cybersecurity-forskaren Jonathan Leitschuh Zoom för att meddela företaget om tre stora säkerhetsproblem som finns inom dess videokonferensapplikation för Mac-datorer. Förutom ett fel som gjorde det möjligt för en skadlig angripare att starta ett Dial-attack (Dial) -attack på en användares maskin, och ett fel som lämnade en lokal webbserver installerad på användarens Mac även efter avinstallation av Zoom-applikationen, avslöjade Leitschuh också en allvarligt alarmerande sårbarhet som gjorde det möjligt för en skadlig tredjepartsenhet att fjärransluta och automatiskt aktivera en intet ontande Mac-användares mikrofon och kamera.

Enligt Leitschuhs blogginlägg bagatelliserade Zoom kontinuerligt svårighetsgraden av sårbarheterna under pågående samtal. Leitschuh gav Zoom ett industristandard 90-dagars fönster för att lösa problemen innan man fortsatte med offentliggörande. Han tillhandahöll till och med Zoom det han kallade en ”quick fix” -lösning för att tillfälligt korrigera kamerans sårbarhet medan företaget avslutade arbetet med att rulla ut den permanenta fixen. Under ett möte före 90-dagarsfristen för offentliggörande presenterade Zoom Leitschuh med sin föreslagna fix. Forskaren var emellertid snabb att påpeka att den föreslagna lösningen var otillräcklig och lätt kunde förbikopplas på olika sätt.

I slutet av 90-dagarsfristen för offentliggörande implementerade Zoom den tillfälliga lösningen ”quick fix”. Leitschuh skrev i sitt blogginlägg:

"I slutändan misslyckades Zoom med att snabbt bekräfta att den rapporterade sårbarheten faktiskt existerade och att de misslyckades med att ha rättat till problemet på ett snabbt sätt. En organisation av denna profil och med en så stor användarbas borde ha varit mer proaktiv när det gäller att skydda sina användare från attack."

I sitt första svar på offentliggörandet på företagets blogg vägrade Zoom att erkänna allvarligheten av videosårbarheten och "i slutändan ... beslutade att inte ändra applikationens funktionalitet." Trots (först efter att ha fått betydande offentligt bakslag efter avslöjandet) Zoom gick med på att helt ta bort den lokala webbservern som möjliggjorde utnyttjandet, företagets första svar tillsammans med Leitschuhs berättelser om hur Zoom valde att ta itu med hans ansvarsfulla avslöjande avslöjar att Zoom inte tog frågan på allvar och hade litet intresse av att lösa ordentligt den.

Hall tyst

Zoom hade försökt att köpa Leitschuhs tystnad i frågan genom att tillåta honom att dra nytta av företagets bounty-program endast under förutsättning att han undertecknade en alltför strikt NDA. Leitschuh avslog erbjudandet. Zoom hävdade att forskaren erbjöds en ekonomisk premie men avböjde den på grund av "villkor för icke-avslöjande". Det som Zoom försummade att nämna är att de specifika termerna innebar att Leitschuh skulle ha förbjudits att avslöja sårbarheterna även efter att de hade rättats till. Detta skulle ha gett Zoom noll incitament att korrigera en sårbarhet som företaget avfärdade som obetydligt.

NDA: er är vanligt i bounty-program, men att kräva permanent tystnad från forskaren liknar att betala hush pengar och till slut gynnar inte forskaren, och det gynnar inte heller användare eller allmänheten i allmänhet. NDA: s roll bör vara att ge företaget en rimlig tid att ta itu med och åtgärda en sårbarhet innan den utsätts för allmänheten och potentiellt utnyttjas av cyberbrottslingar. Företag har en rimlig förväntan på att inte avslöjas när de arbetar för att fixa en sårbarhet, men främst till förmån för användaren, inte främst för att spara ansikte vid domstolen för allmänheten. Forskare å andra sidan har en rimlig förväntan på en ekonomisk belöning, liksom för allmänhetens erkännande för sina ansträngningar. Användare förväntar sig att de företag vars produkter de använder gör allt de kan för att säkra sin integritet. Slutligen har allmänheten en rimlig rätt att veta vilka säkerhetsproblem som finns och vad som görs för att skydda konsumenterna mot cyberhot och vad konsumenter kan göra för att skydda sig själva.

Konfliktprioriteringar

Det hade varit svårt för Zoom att hantera denna situation sämre än den gjorde. Företaget var så fokuserat på att skapa en sömlös användarupplevelse att det helt förlorade synen på den kritiska vikten av att skydda användarnas integritet. ”Video är centralt för zoomupplevelsen. Vår video-första plattform är en viktig fördel för våra användare runt om i världen, och våra kunder har berättat för oss att de väljer Zoom för vår friktionslösa videokommunikationsupplevelse, ”uttalade företaget i sitt svar. Men Zoom använde sig för att installera en lokal webbserver i bakgrunden på Mac-datorer som effektivt kringgåde en säkerhetsfunktion i Safari-webbläsaren för att underlätta denna "friktionsfria" videoupplevelse för sina användare. Safari-säkerhetsfunktionen i fråga krävde användarbekräftelse innan appen startades på en Mac. Zooms lösning på detta var att medvetet kringgå det och sätta användarnas integritet i fara för att spara ett klick eller två.

Först efter det offentliga bakslaget som det fick i samband med avslöjandet vidtog företaget meningsfulla åtgärder. Företagets initiala svar antydde att det inte hade för avsikt att ändra applikationens funktionalitet även mot bakgrund av de betydande sårbarheterna som applikationen hade. Det verkar som om företaget var villigt att prioritera användarupplevelse framför användarsäkerhet. Även om smidig användarupplevelse utan tvekan är till nytta för alla onlineapplikationer, borde den verkligen inte gå på bekostnad av säkerhet och integritet.

Till företagets kredit erkände senare medstifter och VD Eric S. Yuan att Zoom hanterade situationen dåligt och engagerade sig för att göra bättre framöver. Yuan uttalade i ett blogginlägg att ”vi felbedömde situationen och svarade inte tillräckligt snabbt - och det är på oss. Vi tar fullt ägande och vi har lärt oss mycket. Vad jag kan säga er att vi tar användarsäkerhet otroligt på allvar och vi är helhjärtat engagerade i att göra rätt av våra användare, ”tillägger också att” vår nuvarande upptrappningsprocess var helt klart inte tillräckligt bra i det här fallet. Vi har vidtagit åtgärder för att förbättra vår process för att ta emot, eskalera och stänga slingan för alla framtida säkerhetsrelaterade problem. ”

"vi bedömde felet och svarade inte tillräckligt snabbt - och det är på oss.

Men i slutändan kvarstår verkligheten som hade forskaren gått med på villkoren för den NDA som Zoom presenterade för honom och hade förbjudits att avslöja sina resultat, kunde vi troligen aldrig ha hört något om sårbarheten. Värre ännu kan företaget troligen aldrig ha åtgärdat problemet, vilket lämnat miljoner användare sårbara för en allvarlig invasion av privatlivet.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me