Coronaviruspandemin har flyttat den globala arbetskraften till fjärrinställningar och videokonferensappar som Zoom och Microsoft Teams, men inte alla dessa lösningar får betygen beträffande säkerhet, enligt en rapport från Mozilla Foundation.
Av de 15 applikationer som testats av Mozilla uppfyllde 12 sina fempunkts minsta säkerhetsstandarder: Zoom, Google Hangouts, Apple FaceTime, Skype, Facebook Messenger, WhatsApp, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting och Cisco WebEx.
Dessa standarder inkluderar att använda kryptering, tillhandahålla säkerhetsuppdateringar, kräva starka lösenord, hantera sårbarheter och att ha en integritetspolicy.
”Just nu använder ett rekordstort antal appar appar för videosamtal för att bedriva affärer, undervisa, träffa läkare och hålla kontakten med vänner.
Det är viktigare än någonsin för denna teknik att vara pålitlig - men många appar respekterar inte alltid användarnas integritet och säkerhet, säger Ashley Boyd, Mozillas VP of Advocacy, i ett uttalande.
Husparty
Houseparty, den populära videochattappen från Epic Games, företaget bakom Fortnite, fick 4 av 5 på Mozillas minimisäkerhetsstandarder; det blev dinged på bristen på ett starkt lösenordskrav.
Det verkar också vara ett personuppgiftsvakuum och ger inte ett sätt att begränsa mycket av datainsamlingen.
Blockering av cookies kan hindra Chrome-tillägget från att fungera korrekt, [though] du kan stoppa platsdelning och andra behörigheter på appnivå och ändå använda appen, säger Mozilla.
I ett uttalande säger Houseparty att det "upprätthåller pålitlig kryptering och säkerhetsåtgärder för att skydda kunddata.
Vi granskar kontinuerligt och förbättrar säkerhetsmetoderna på Houseparty och påminner alla våra användare om att det är en bästa praxis att använda starka lösenord."
Disharmoni
Discord hade ett liknande rapportkort, tjänade en 4 av 5, men fick ett lägre betyg på lösenordsstyrka och datainsamling.
Men ”det största problemet med Discord är dess historia av giftiga samhällen, trakasserier och rovdjur,” skriver Mozilla.
människor på Discord som inte är försiktiga.
”
Discord säger att det "för närvarande arbetar med Mozilla för att säkerställa att de har all information om våra integritets- och säkerhetsfunktioner." Företaget har redan uppdaterat sina inställningar för att blockera svaga lösenord samt lösenord som har varit inblandade i ett annat dataintrång.
När det gäller datainsamling säger Discord att det samlar in "vissa data för verktyg som Google Analytics och andra vanliga tredje parter, men vi tjänar inte pengar på någon data.
Vi tjänar inga pengar på reklam eller delar dessa data med tredje part som ser till dra nytta av informationen från våra användare.
Vår affärsmodell bygger helt på prenumerationer.
"
När det gäller giftiga användare säger Discord att den har "nolltolerans för olaglig aktivitet på vår plattform och vidtar omedelbara åtgärder när vi blir medvetna om det, inklusive att förbjuda användare, stänga av servrar och rapportera till brottsbekämpande enheter.
Vi övervakar proaktivt.
för servrar och användare som bryter mot våra community-riktlinjer eller deltar i olaglig aktivitet.
" Idén att du kan snubbla till servrar som är relaterade till olaglig aktivitet är "helt uppenbart falsk", står det.
Doxy.me
Doxy.me, en populär telemedicinplattform, kritiserades under tiden för att inte kräva starka lösenord eller tillhandahålla tvåfaktorautentisering.
"Det finns inget krav att bevisa att du är den faktiska patienten som ska gå med i samtalet, vilket innebär att läkare eller terapeuter som inte har ett tidigare etablerat förhållande med en patient kanske inte vet om personen som går med i deras virtuella möte är verkligen vem de säger att de är, konstaterar Mozilla.
Rekommenderas av våra redaktörer
I ett uttalande säger Pat Thompson, en säkerhetsanalytiker på Doxy.me: ”Leverantörer har full kontroll över vem de träffar men samma autentiseringsarbetsflöden gäller för onlinevårdsavtal som de gör för personliga besök.
Många leverantörer verifierar redan att de pratar med rätt patient genom att verifiera ett ID-kort eller be patienten att verifiera sitt fullständiga namn och födelsedatum.
Vi lagrar inte patientinformation för att öka säkerheten och leverantörer är väl medvetna om att det är deras ansvar att autentisera patienten i linje med deras företag och efterlevnadspolicyer.
”
Företaget medger att det inte har ett minimilösenordskrav för leverantörer, men säger att det meddelar dem om styrkan i sina lösenord.
De som vill ha flerfaktorautentisering kan använda "den sociala inloggningsförmågan som tillhandahålls av Google och Facebook och leverantörer på vår klinikprenumeration har möjlighet att integrera sin egen IdP med SAML och förlita sig på befintliga företagsåtkomst- och autentiseringspolicyer", säger Thompson.
”På grund av regelbunden penetrationstestning, oberoende säkerhetsforskare och interna granskningar har doxy.me redan reviderat sina åtkomst- och autentiseringskontroller som inkluderar att ställa in minimilängd och lösenordskrav för komplexitet.
Ett antal förändringar är i utvecklingsledningen just nu.
”
Vad sägs om zoom?
Andra appar, som har drabbats av slapp säkerhet, inkluderar Zoom, men Mozilla gav sitt videosamtal höga betyg.
”Zoom har kritiserats högt för integritets- och säkerhetsfel.
Eftersom det finns många andra alternativ för videosamtal-appar där ute, agerade Zoom snabbt för att hantera deras många integritets- och säkerhetsproblem.
Detta är inte något vi nödvändigtvis ser med företag som Facebook som inte har en riktig konkurrent, säger Mozilla.
Men även om många andra företag uppfyller Mozillas minimistandarder betyder det inte att de är helt användarvänliga.
Mozillas standarder kräver till exempel bara att ett företag har en integritetspolicy men naturligtvis är det få som läser dem.
