Zoom připouští, že některé hovory přes Čínu směroval omylem

Domů » Novinky

Ikona času čtení 4 min. číst

Ikona kalendáře Publikované dne

by Anmol Mehrotra 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více

zoom

Pandemie koronaviru zaznamenala nárůst používání Zoom, ale software byl spíše a soukromí noční můra for společnosti a jednotlivci po celém světě. Dnes dříve, my hlášeny jak se nahrávky Zoom dostaly na internet a hned poté bezpečnostní výzkumníci na Citizen Lab zveřejnila zprávu, která tvrdí, že společnost přesměrovala některé hovory přes Čínu.

Ve zprávě Citizen Lab uvedl, že společnost směrovala některé hovory a jejich příslušné šifrovací klíče přes Čínu. My hlášeny dříve, jak má společnost šifrovací klíče, což je důvod, proč služba není přesně end-to-end šifrována, jak společnost tvrdí. V bloguSpolečnost uvedla, že „implementovala robustní a ověřené interní kontroly, aby zabránila neoprávněnému přístupu k jakémukoli obsahu, který uživatelé sdílejí během schůzek“. Totéž však nelze říci o čínských úřadech, které by teoreticky mohly přistupovat k hovorům směrovaným přes Čínu.

Klíčová zjištění Citizen Lab

  • zoom dokumentace tvrdí, že aplikace používá pro schůzky šifrování „AES-256“, kde je to možné. Zjistili jsme však, že na každé schůzce Zoom používají všichni účastníci v režimu ECB jediný klíč AES-128 k šifrování a dešifrování zvuku a videa. Použití režimu ECB se nedoporučuje, protože vzory přítomné v prostém textu jsou během šifrování zachovány.
  • Zdá se, že klíče AES-128, které jsme ověřili, jsou dostatečné k dešifrování paketů Zoom zachycených v internetovém provozu, jsou generovány servery Zoom a v některých případech jsou doručovány účastníkům schůzky Zoom prostřednictvím serverů v Číně, i když všechna setkání účastníci a společnost předplatitele Zoom jsou mimo Čínu.
  • Zdá se, že Zoom, společnost se sídlem v Silicon Valley, vlastní v Číně tři společnosti, jejichž prostřednictvím je za vývoj softwaru Zoom placeno nejméně 700 zaměstnanců. Toto uspořádání je zdánlivě snaha pracovní arbitráž: Zoom se může vyhnout placení amerických mezd při prodeji americkým zákazníkům, a tak zvýšit jejich ziskovou marži. Toto uspořádání však může způsobit, že Zoom bude reagovat na tlak čínských úřadů.

Zoom nyní potvrdil, že společnost směrovala hovory omylem. Generální ředitel společnosti Eric Yuan uvedl následující prohlášení:

Během běžných operací se klienti Zoom pokusí připojit k řadě primárních datových center v oblasti uživatele nebo v její blízkosti, a pokud tyto vícenásobné pokusy o připojení selhnou kvůli přetížení sítě nebo jiným problémům, klienti osloví dvě sekundární datová střediska ze seznamu několik sekundárních datových center jako potenciální záložní most k platformě Zoom. Ve všech případech jsou klientům Zoomu poskytnut seznam datových center odpovídající jejich oblasti. Tento systém je rozhodující pro spolehlivost ochranné známky společnosti Zoom, zejména v době masivního internetového stresu.

Stručně řečeno, hovory pocházející ze Severní Ameriky mají být směrovány přes americké servery stejně jako hovory uskutečněné v Evropě. Společnost však může směrovat hovory přes nejbližší server s nejdostupnější kapacitou, pokud dojde k nárůstu provozu. To neplatí pro Čínu, protože západní země mají z Číny obavy, a proto společnosti nesměřují provoz přes Čínu, i když jsou ostatní servery zahlceny. Společnost to v tomto případě porušila a směrovala americké hovory přes Čínu, když došlo k nárůstu provozu.

Řekl to Bill Marczak z Citizen Lab TechCrunch že byl ohledně Zoomovy odpovědi „opatrně optimistický“.

Větším problémem je, že Zoom zjevně napsal své vlastní schéma pro šifrování a zabezpečení hovorů,“ řekl, a že „v Pekingu existují servery Zoom, které mají přístup k šifrovacím klíčům schůzek.

Pokud jste entita s dobrými zdroji, získat kopii internetového provozu obsahujícího obzvláště vysoce hodnotné šifrované volání Zoom možná není tak těžké.

Obrovský posun k platformám jako Zoom během pandemie COVID-19 činí platformy jako Zoom atraktivními cíli pro mnoho různých typů zpravodajských agentur, nejen pro Čínu. Naštěstí se společnost (zatím) trefila do všech správných poznámek v reakci na tuto novou vlnu kontroly ze strany bezpečnostních výzkumníků a zavázala se, že svou aplikaci vylepší.

– Bill Marczak

Přestože společnost nedávno oznámila, že pozastaví aktualizace funkcí, aby se soustředila na řešení bezpečnostních problémů, stále čelí obrovskému tlaku úřadů z celého světa, aby bezpečnostní chyby opravily. Provede také komplexní kontrolu s odborníky třetích stran a zástupci uživatelů, aby porozuměl a zajistil bezpečnost své služby. Další informace o tomto oznámení zde.

Více o tématech: bezpečnostní chyby, zoom

Anmol Mehrotra

Anmol Mehrotra Štít

Android a Windows News Reporter

Anmol pokrývá novinky pro Android a Windows. Je to technický spisovatel s více než desetiletými zkušenostmi.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *