Sobre la seguretat de l’eina de videoconferència Jitsi Meet

per | 11-04-2020 | Blog de comunicació i màrqueting digital

Aquests darrers dies han començat a circular alguns missatges provinents dels Mossos d’Esquadra sobre la seguretat de Jitsi Meet i Zoom. Diversos mitjans de comunicació n’han fet esment. Com per exemple RAC1.

Si ho recordes, fa uns dies vam recomanar l’ús de Jitsi Meet per fer teletreball i vam dissenyar un tutorial en vídeo per explicar-ne l’ús bàsic que ens ha generat un munt de visites a la nostra pàgina web.

Per aquest motiu els nostres seguidors i coneguts ens heu demanat què en pensem.

En el comunicat dels Mossos en relació amb Jitsi Meet que ens va arribar per whatsapp i que després van penjar a internet hi havia 2 errors des del nostre punt de vista.

No enllacem el comunicat perquè ha estat eliminat dels servidors de la Generalitat.

Sobre Zoom no ens posicionarem perquè és una eina que nosaltres no utilitzem de forma activa i no ens sentim autoritzats a parlar-ne.

1.Vulnerabilitat de seguretat a Jitsi Meet

A la circular s’esmenta una vulnerabilitat de seguretat que permetia l’accés dels hackers al nostre ordinador i robar-nos informació.

L’informe de vulnerabilitat existeix però és de fa 3 anys, de 2017. A més, Jitsi és un projecte en codi obert que, com la majoria de projectes opensource, és molt àgil en la resolució d’aquests tipus d’incidència i està resolta. A banda que no és de Jitsi Meet sinó de Jitsi Desktop que és una aplicació en desús com indiquen al tweet de Jitsi.

https://twitter.com/jitsinews/status/1248325075079761926

L’Agència de Ciberseguretat de Catalunya, en l’enllaç que RAC1 posa a la seva pròpia nota descarta aquesta vulnerabilitat.

Pel que fa a les informacions aparegudes sobre Jitsi, a l’Agència de Ciberseguretat no li consten vulnerabilitats recents. La darrera de la qual se’n té constància és de fa 3 anys i ja va quedar resolta.

https://ciberseguretat.gencat.cat/ca/detalls/noticia/Nota-de-lAgencia-de-Ciberseguretat-de-Catalunya-en-relacio-a-lus-daplicacions-de-videoconferencia

2.Risc d’exposició de transferència de dades personals fora de la UE

A la circular que vam rebre també s’indica que l’ús de Jitsi Meet pot suposar una violació del RGDP.

És cert que els servidors de Jitsi Meet es troben distribuïts per tot el món.

Però l’ús de Jitsi Meet és anònim i no conté cap mena de dada personal més enllà de les IP que s’han interconnectat. No hi ha cap dada que permeti la identificació de les persones (ni noms, ni correus electrònics, ni números de compte…).

Nosaltres no sabem veure-hi aquest risc (és cert que no som experts en la matèria).

Es pot usar Jitsi Meet sense prendre cap precaució?

Es pot usar Jitsi Meet amb normalitat. Ara bé, cal prendre un conjunt de mesures de precaució que a l’article de RAC1 s’esmenten. Són de sentit comú però val la pena de tenir-les presents.

  • No estableixis comunicacions amb persones desconegudes i sempre verifica la identitat dels nous contactes.
  • Restringeix l’accés a les sales de conferència mitjançant una contrasenya robusta si et preocupa que ningú pugui aparèixer a la reunió.
  • Com en totes les aplicacions, sempre cal mantenir actualitzat el programari. És una aplicació web que s’actualitza sola però cal que facis servir una versió actual del navegador i l’antivirus.
  • Deshabilita la compartició d’escriptori, àudio i vídeo per defecte. Habiliteu-los només quan sigui necessari.
  • Cal assegurar-te què capta la càmera per evitar que sigui una forma de robatori de dades.
  • Si vols, tapa la càmera i apagueu o silencieu els micròfons quan no utilitzeu les aplicacions.

I ara, socialitzem en la distància ;)

Arxius