דו"ח טכנולוגי
איך Zoom מתכוונת להתמודד עם בעיות האבטחה שהתגלו אצלה?
כולנו עברנו לאונליין. מתחתנים בשיחת וידאו, מקיימים הלוויות באופן מקוון וגם את ליל הסדר נקיים השנה מרחוק. המחיר הכבד שאנחנו משלמים הוא לא רק בתחושת הריחוק מבני המשפחה, הוא גם בדליפת הפרטיות שלנו בידי האקרים. וגם: אפל משנה את מדיניות חנות האפליקציות שלה לטובת המפתחים
כל מי שחשוב לליסה קרבורידיס היה בחתונה שלה השבוע. היא הלכה במורד המעבר, מלווה בשני בניה לקול מוזיקה שנוגנה בחמת חלילים, ובחיר לבה, גראהם בלקט חיכה מחייך ליד המזבח. בני המשפחה והחברים צפו בהתרגשות כשהשניים נדרו את נדריהם. כמקובל בחתונה, היו לא מעט שמחו דמעה. נכון, לפי תיאור הטקס באתר The Verge, את הטירה ההיסטורית שאמורה להיות מקום הנישואין החליף הסלון של בני הזוג באדינברו, ורבים מהאורחים הלבושים בחגיגיות בכלל לא היו במקום אלא צפו בו מרחוק באמצעות זום (Zoom), אך האירוע היה מרגש לא פחות. או, לפחות, הכי מרגש שאפשר בימי הקורונה.
ליסה וגראהם לא לבד בחתונה יוצאת דופן כזו, תגית ZoomWedding# באינסטגרם חושפת עשרות תמונות חתונה של זוגות שונים שנישאו באמצעות אפליקציית שיחות הווידיאו שהפכה בתקופת ההסתגרות והסגר לאחד היישומים הפופולריים בעולם ולאמצעי מרכזי לשמירה על קשר בין אנשים מרוחקים. וחתונה אינה גם השימוש יוצא הדופן היחיד בזום. בני נוער רבים כבר חוגגים יום הולדת באפליקציה, ובשבוע הבא משפחות יהודיות מכל העולם ישתמשו בה כדי לחגוג סדר פסח משותף גם בשעה שהם ואהוביהם מרוחקים זה מזה (אם תשתיות האינטרנט בישראל לא יקרסו).
שימושים ייחודים אלו מצטרפים לתפקיד חיוני שממלאת האפלקיציה בימים אלו ככלי להעברת שיעורים מקוונים או לקיום שגרת עבודה בעסקים שנאלצו להעביר את עובדיהם לעבודה מהבית, וכמובן סתם לשמירה על קשר שוטף עם מקרים וחברים. אמנם לא מדובר בחלופה היחידה בשטח, אך פונקציות כמו ממשק אינטואטיבי ונוח, העדר הצורך להרשם על מנת להצטרף לפגישה מקוונת ויכולת לנהל שיחה קבוצתית בהשתתפות של עד 100 אנשים מחשבון חינמי בתוספת הפופולריות שלה במקומות עבודה רבים קודם לכן שסייע לייצא אותה למיינסטרים בשעת המשבר, הפכו את זום לברירת המחדל של שיחות הווידאו בעידן הנוכחי.
הפופולריות של זום כל כך גדולה, שבזמן קצר להדהים היא הפכה לתופעה תרבותית שמייצרת מספר אדיר של ממים וסרטונים ויראליים (האהובים עלי: משתתפי שיחה רבת-משתשמים שמשאירים את מהצלמה פועלת בעודם הולכים עם המכשיר לשירותים, לחרדת שאר המשתתפים בשיחה), האפליקציה לתופעה תרבותית שמייצרת סרטונים. במקביל הזינוק האדיר במניית החברה, שהנפיקה לפני פחות משנה, הפך לא מעט משקיעים מוקדמים לאנשים מאוד מאוד עשירים (או, ליתר דיוק, הרבה יותר עשירים מכפי שכבר היום קודם לכן). בראשם נמצא, כמובן, המייסד והמנכ"ל אריק יואן, שהונו האישי יותר מהכפיל את עצמו בשלושה חודשים בלבד ל-7.57 מיליארד דולר.
אבל הפופולריות האדירה של זום גם חשפה צד פחות נעים, אולי אפילו מסוכן, של האפליקציה: יש לה בעיה רצינית בהגנה על פרטיות המשתמשים ואבטחת המידע שלהם. רק השבוע, למשל, דיווח אתר The Intercept שבניגוד לטענות החברה השיחות בזום אינן מוצפנות מקצה-אל-קצה, אלא רק התקשורת עם שרתי החברה מוצפנת. כלומר, החברה עצמה יכולה לגשת לתוכן השיחות, בניגוד למשל לשיחות וידיאו בווטסאפ שמוצפנות כך שגם החברה לא יכולה לראות אותן.
ואתמול דיווח אתר Motherboard שפיצ'ר בזום שמיועד לסייע לעובדים מאותה חברה למצוא ולהתקשר זה לזה, באמצעות ריכוז קיבוץ האימייל המקצועיות שלהם לפי הדומיין של הכתובת, הביא לחשיפת פרטים אישיים של משתמשים שהתחברו לשירות עם אימייל פרטי מספק לא מוכר (כלומר, לא ג'ימייל או יאהו, למשל), אחרי שזום קיבצה בטעות את הכתובות שלהם תחת אותה חברה. טעות שאפשרה גם לזרים מוחלטים ליזום שיחות וידיאו אתם.
כשלים אלו מצטרפים לשורה ארוכה של טעויות ומחדלים שנחשפו בזום בחודשים האחרונים, שרוכזו בעבודה קפדנית של אתר TechCrunch:
- אפל נאלצה לאבטח מליוני מקים אחרי שהתברר שזום התקינה על המחשבים שרת סודי שנשאר עליהם גם לאחר שהתוכנה הוסרה, ושחשף את המק למתקפות זדוניות.
- אפליקציית האייפון של זום שלחה בחשאי לפייסבוק (לא בדיוק החברה מספר 1 בכל הנוגע לשמירה על פרטיות) מידע על הרגלי השימוש של משתמשים, כמו מתי הם פתחו את האפלקיציה או מי ספר הסלולר שלהם. זום הסירה את הקוד שאפשר זאת, אך התביעה הייצוגית בארה"ב כבר הוגשה.
- תכונה אחרת שזכתה לביקורת אפשרה למארגן השיחה לדעת מתי משתתפים נמצאים בחלון אחר ומעבירים את זום לרקע.
- חוקר אבטחה חשף שזום משתמשת בטכניקה מפוקפקת שנמצאת בשימוש של רוגלות כדי להתקין את אפליקציית המק שלה.
- החברה, מתברר, לא מפרסמת את בקשות המידע שהיא מקבלת ממדינות ורשויות חוק, בניגוד לחברות כמו פייסבוק, אפל וגוגל.
- מדיניות הפרטיות של זום, התבררה השבוע כזו שהתירה לחברה לאסוף מידע משתמשים, כוללים וידיאו ותמלולי שיחות, לצרכי פרסום.
וכמובן שיש את הזום-בומבינג (Zoombombing), פעילות הטרולינג הפופולרית ביותר בימים אלו, שעיקרה התפרצות לא מבוקרת לשיחות והשתלטות על המסך המרכזי על מנת לקלל, לגדף, להפיץ אמירות גזעניות ופורנו בוטה, או סתם לחשוף פינים (כי יש גברים, משום מה, שחושבים שכל העולם פשוט חייב לדעת איך נראה הבולבול שלהם). התופעה מתאפשרת בגלל ברירות המחדל של שיחה חדשה בזום, שמאפשרות לכל אחד עם קישור מתאים להצטרף לשיחה ואף לחזור אליה אחרי שגורשו, בעוד האפשרויות להגביל התנהגות שכזו – יצירת סיסמה לשיחה קבוצתית, הפעלת חדר המתנה, הגבלת היכולת של משתתפים אחרים לשתף את המסך שלהם ועוד – אינן נגישות בקלות למשתמשים לא מנוסים (שמהווים בימים אלו את הרוב המוחלט של משתמשים זום).
למה יש לזום כל כך הרבה בעיות? "זום, בשעה שהיא נהדרת מבחינת השימושיות, לא עוצבה עם אבטחה בראש סדר העדיפויות", אמר חוקר האבטחה פטריק וורדל ל-Wired. "ראיתי חוקרים מצייצים על התנהגות מוזרה בזום, וממש 10 שניות אחרי שהתחלתי לבחון אותה בעצמי חשבתי, אלוהים אדירים. בזום יש כל כך הרבה שגיאות, וזו עדות למוצר שלא נבדק כראוי מנקודת מבט אבטחתית".
אבל הבעיה עמוקה יותר, וכנראה לא ייחודית לזום. סביר להניח שגם אפליקציות דומות אחרות, לו היו נדחפות לפתע לאור הזרקורים, היו מתגלות כסובלות מבעיות רבות דומות. פשוט אף אחד לא טרח להסתכל עליהן בכזה עומק ובכזה היקף. זום, מעצם הפופולריות שלה, מושכת יותר תשומת לב, הן מבחינת חוקרי אבטחה והן בסיקור תקשורתי (כי מי ירצה לכתוב טקסט של 1,218 מלה על אפליקציה שאף אחד לא משתמש בה?) מה שמביא לחשיפת יותר בעיות ולסיקור יותר נרחב שלהן.
בנוסף, זום סובלת גם מהצורך לגדול בקצב מסחרר, שאפשר להניח בביטחון שלא נערכה אליו. בשעה שהתפרצות הקורונה הביאה לשיתוק או לנפילה של חברות רבות, בזום היתה תופעה הפוכה, ובתוך זמן קצר להדהים הפכה החברה מכלי משרדי של יודעי דבר לתוכנת מיינסטרים לכל דבר ועניין, משחקת במגרש של הגדולים לצד ווטסאפ או טוויטר ומשאירה אבק למתחרות ותיקות ומבוססות יותר כמו סקייפ. גדילה מהירה היא דבר מורכב, וגם חברות שנערכות לכך מראש, שזו התוכנית האסטרטגית שלהן, מתקשות לעשות זאת ללא טעויות חמורות ומסוכנות בכל הנוגע לאבטחה ושמירת פרטיות המשתמשים – רק תראו כמה פאשלות רציניות היו לפייסבוק בשנות הצמיחה האדירות שלה לקראת ואחרי ההנפקה. וזו חברה שתכננה מראש לצאת למהלך התרחבות אדיר.
זום, במידה רבה, נפלה קרבן להצלחת הפתע שלה. תשומת הלב הציבורית שמה זרקור על בעיות שאחרת היו נשארות עלומות, והצורך לגדול במהירות על מנת לעמוד בדרישה פתח את הדלת לבעיות חדשות שאולי לא היו מתרחשות לו היתה החברה יכולה לצמוח בקצב סביר יותר. יש מקום להאשים את זום במחדלים השונים שהתגלו, אבל לא כדאי עדיין סיבה להפוך את החברה ואת האפליקציה למוקצה. אפשר לתת לה, לפחות לבינתיים, להנות מהספק. זום התמודדה עם מצב לא צפוי שהעמיד בפניה דרישות חדשות ומפתיעות, ואין ספק שעשתה טעויות בדרך.
השאלה האמיתית היא מה תעשה החברה עכשיו: אם תתאפס על עצמה, תבצע שידוד מערכות ותפעל לתיקון של בעיות היסוד שהובילו לתקלות ולמחדלים השונים היא תצא מנצחת מכל העסק. אם לא, היא עלולה להצטרף לרשימה השחורה של חברות שמזלזלות במשתמשים ולא זוכות לאמון הציבור, התקשורת והמחוקקים. לא כל החברות מסוג זה נדונו לכיליון – פייסבוק מתפקדת מצוין, למשל. אבל זום היא לא פייסבוק, לא בגודל, לא בהיקף ההכנסות והרווחים ובעיקר לא ביכולת שלה לנעול משתמשים ולמנוע מהם מלהגר לפלטפורמות אחרות. אם זום לא תתקן את בעיות היסוד בפעילותה, מתחרה אחרת, מאובטחת ואמינה יותר, תוכל להחליף אותה בקלות ברגע שהמוניטין של זום יהיה ירוד מספיק. במקרה כזה, אחרי שהמשבר זום תהיה לא יותר מהערת שוליים בהיסטוריה של עולם הטכנולוגיה.
קצרצרים
1) אובר הבטיחה לשלם לנהגים שלא שלא יכולים לעבוד בגלל משבר הקורונה. אבל, כלשון האמרה שמיוחסת ללוי אשכול, היא לא הבטיחה לקיים. כמה נהגים, שלא יכולים להסתכן בעבודה בגלל מחלות רקע, סיפרו שפנו לחברה בבקשה לקבל תשלום על הימים שבהם הם נאלצים להישאר בבית. אובר, בתגובה, דחתה את הפניות (גם כשהוצג אישור רפואי), ואף הרחיקה לכת וסגרה את החשבונות שלהם, וכך הותירה אותם מחוסרי עבודה גם עם חלוף המשבר. אני רוצה להגיד שאני מופתע, אבל בכל זאת מדובר באובר.
2) בצל הקורונה, מדינת וושינגטון אישרה חוק זיהוי פנים, שיכול להוות מודל לאומי בארה"ב. החוק לא אוסר שימוש גורף בטכנולוגיה על ידי גורמי ממשל אך קובע מגבלות שנחשבות בין נוקשות יחסית למרבית המדינות בארה"ב (אם כי לא בין הנוקשות ביותר), למשל חובת הודעה לציבור מצד סוכנות ממשלתית שמבקשת להשתמש בזיהוי פנים וקיום שלוש אסיפות ציבוריות בנושא. גופי אכיפת חוק יוכלו להשתמש בטכנולוגיה למעקב מתמשך או זיהוי בזמן אמת רק עם צו בית משפט. בנוסף, לא ניתן יהיה להשתמש בטכנולוגיה לקבלת החלטות משמעותיות ללא "ביקורת אנושית משמעותית", וחברה שמספקת מערכת זיהוי פנים לממשל חייבת להעמיד אותה לביקורת של גורם חיצוני שיאמת את אמינותה.
3) ושיא לימים הנוכחיים: שני אייטמים במדור שלא קשורים לקורונה. אפל שינתה במעט את המדיניות השנויה במחלוקת במסגרתה היא גובה 30% מכל רכישה דיגטלית באפסטור ובאפליקציות. מעתה, שירותי סטרימינג שמוכרים או משכירים פרטניים (בניגוד לנפטליקס שם כל התוכן זמין ללא תשלום נוסף מעבר לתשלום החודשי), לא יאלצו להשליש לאפל את העמלה הגבוהה. שירות אמזון פריים וידיאו הוא בין הראשונים לנצל את השינוי, והחל כבר לאפשר למשתמשים לרכוש ולשכור כותרים ישירות ממכשירי אפל.