Το Zoom παραδέχεται ότι δρομολόγησε κάποιες κλήσεις μέσω της Κίνας κατά λάθος

Η πανδημία του κορωνοϊού έχει δει μια αύξηση στη χρήση του Zoom, αλλά το λογισμικό ήταν περισσότερο α μυστικότητα εφιάλτης for εταιρείες και άτομα σε όλο τον κόσμο. Νωρίτερα σήμερα, εμείς αναφερθεί πώς οι ηχογραφήσεις του Zoom έφτασαν στο διαδίκτυο και αμέσως μετά, οι ερευνητές ασφαλείας στο Εργαστήριο πολίτη δημοσίευσε μια αναφορά ισχυριζόμενη ότι η εταιρεία είχε δρομολογήσει ορισμένες κλήσεις μέσω της Κίνας.

Στην έκθεση, Εργαστήριο πολίτη είπε ότι η εταιρεία δρομολόγησε ορισμένες από τις κλήσεις και τα αντίστοιχα κλειδιά κρυπτογράφησης μέσω της Κίνας. Εμείς αναφερθεί νωρίτερα πώς η εταιρεία διαθέτει τα κλειδιά κρυπτογράφησης, γι' αυτό η υπηρεσία δεν είναι ακριβώς κρυπτογραφημένη από άκρο σε άκρο όπως ισχυρίζεται η εταιρεία. Σε ένα ανάρτηση, η εταιρεία είπε ότι έχει «εφαρμόσει ισχυρούς και επικυρωμένους εσωτερικούς ελέγχους για την αποτροπή μη εξουσιοδοτημένης πρόσβασης σε οποιοδήποτε περιεχόμενο που μοιράζονται οι χρήστες κατά τη διάρκεια συσκέψεων». Το ίδιο, ωστόσο, δεν μπορεί να ειπωθεί για τις κινεζικές αρχές που θα μπορούσαν, θεωρητικά, να έχουν πρόσβαση σε κλήσεις που δρομολογούνται μέσω της Κίνας.

Βασικά ευρήματα από το Citizen Lab

• Zoom τεκμηρίωση ισχυρίζεται ότι η εφαρμογή χρησιμοποιεί κρυπτογράφηση "AES-256" για συναντήσεις όπου είναι δυνατόν. Ωστόσο, διαπιστώνουμε ότι σε κάθε συνάντηση Zoom, ένα κλειδί AES-128 χρησιμοποιείται σε λειτουργία ECB από όλους τους συμμετέχοντες για την κρυπτογράφηση και την αποκρυπτογράφηση ήχου και βίντεο. Η χρήση της λειτουργίας ΕΚΤ δεν συνιστάται επειδή τα μοτίβα που υπάρχουν στο απλό κείμενο διατηρούνται κατά την κρυπτογράφηση.
• Τα κλειδιά AES-128, τα οποία επαληθεύσαμε ότι είναι επαρκή για την αποκρυπτογράφηση πακέτων Zoom που υποκλαπούν στην κυκλοφορία του Διαδικτύου, φαίνεται ότι δημιουργούνται από διακομιστές Zoom και σε ορισμένες περιπτώσεις, παραδίδονται στους συμμετέχοντες σε μια σύσκεψη Zoom μέσω διακομιστών στην Κίνα, ακόμη και όταν όλες οι συναντήσεις Οι συμμετέχοντες και η εταιρεία του συνδρομητή Zoom βρίσκονται εκτός Κίνας.
• Η Zoom, μια εταιρεία με έδρα τη Silicon Valley, φαίνεται να έχει τρεις εταιρείες στην Κίνα μέσω των οποίων τουλάχιστον 700 εργαζόμενοι αμείβονται για την ανάπτυξη του λογισμικού του Zoom. Αυτή η ρύθμιση είναι φαινομενικά μια προσπάθεια εργατικό αρμπιτράζ: Το Zoom μπορεί να αποφύγει την πληρωμή μισθών στις ΗΠΑ ενώ πουλά σε πελάτες των ΗΠΑ, αυξάνοντας έτσι το περιθώριο κέρδους τους. Ωστόσο, αυτή η ρύθμιση μπορεί να κάνει το Zoom να ανταποκρίνεται στις πιέσεις των κινεζικών αρχών.

Το Zoom έχει πλέον επιβεβαιώσει ότι η εταιρεία δρομολόγησε τις κλήσεις κατά λάθος. Ο Διευθύνων Σύμβουλος της εταιρείας Eric Yuan έδωσε την ακόλουθη δήλωση:

Κατά τη διάρκεια των κανονικών λειτουργιών, οι πελάτες Zoom προσπαθούν να συνδεθούν σε μια σειρά από πρωτεύοντα κέντρα δεδομένων σε ή κοντά στην περιοχή ενός χρήστη και εάν αυτές οι πολλαπλές προσπάθειες σύνδεσης αποτύχουν λόγω συμφόρησης δικτύου ή άλλων ζητημάτων, οι πελάτες θα επικοινωνήσουν με δύο δευτερεύοντα κέντρα δεδομένων από μια λίστα πολλά δευτερεύοντα κέντρα δεδομένων ως πιθανή εφεδρική γέφυρα στην πλατφόρμα Zoom. Σε όλες τις περιπτώσεις, στους πελάτες Zoom παρέχεται μια λίστα κέντρων δεδομένων κατάλληλων για την περιοχή τους. Αυτό το σύστημα είναι κρίσιμο για την αξιοπιστία του εμπορικού σήματος του Zoom, ιδιαίτερα σε περιόδους τεράστιας πίεσης στο Διαδίκτυο.

Συνοπτικά, οι κλήσεις που προέρχονται από τη Βόρεια Αμερική υποτίθεται ότι δρομολογούνται μέσω αμερικανικών διακομιστών όπως και οι κλήσεις που γίνονται στην Ευρώπη. Η εταιρεία, ωστόσο, μπορεί να δρομολογήσει τις κλήσεις μέσω του πλησιέστερου διακομιστή με τη μεγαλύτερη διαθέσιμη χωρητικότητα, εάν αντιμετωπίζει αύξηση της κυκλοφορίας. Αυτό δεν ισχύει για την Κίνα, καθώς οι δυτικές χώρες έχουν ανησυχίες για την Κίνα και ως εκ τούτου οι εταιρείες δεν δρομολογούν την κυκλοφορία μέσω της Κίνας ακόμη και όταν άλλοι διακομιστές είναι υπερφορτωμένοι. Η εταιρεία, σε αυτήν την περίπτωση, παραβίασε αυτό και διεύθυνε αμερικανικές κλήσεις μέσω της Κίνας όταν υπήρχαν αυξήσεις της κυκλοφορίας.

είπε ο Bill Marczak του Citizen Lab TechCrunch ότι ήταν «επιφυλακτικά αισιόδοξος» για την απάντηση του Zoom.

Το μεγαλύτερο ζήτημα εδώ είναι ότι το Zoom έχει προφανώς γράψει το δικό του σχέδιο για την κρυπτογράφηση και την ασφάλεια των κλήσεων», είπε, και ότι «υπάρχουν διακομιστές Zoom στο Πεκίνο που έχουν πρόσβαση στα κλειδιά κρυπτογράφησης της συνάντησης.

Εάν είστε οντότητα με καλούς πόρους, η απόκτηση ενός αντιγράφου της διαδικτυακής κίνησης που περιέχει κάποια κρυπτογραφημένη κλήση Zoom ιδιαίτερα υψηλής αξίας, ίσως δεν είναι τόσο δύσκολη.

Η τεράστια στροφή σε πλατφόρμες όπως το Zoom κατά τη διάρκεια της πανδημίας COVID-19 καθιστά πλατφόρμες όπως το Zoom ελκυστικούς στόχους για πολλούς διαφορετικούς τύπους υπηρεσιών πληροφοριών, όχι μόνο για την Κίνα. Ευτυχώς, η εταιρεία έχει πετύχει (μέχρι στιγμής) όλες τις σωστές σημειώσεις για να ανταποκριθεί σε αυτό το νέο κύμα ελέγχου από ερευνητές ασφαλείας και έχει δεσμευτεί να κάνει βελτιώσεις στην εφαρμογή τους.

– Μπιλ Μάρτσακ

Ενώ η εταιρεία ανακοίνωσε πρόσφατα ότι η εταιρεία θα σταματήσει τις ενημερώσεις δυνατοτήτων για να επικεντρωθεί στη διόρθωση των προβλημάτων ασφαλείας, εξακολουθεί να αντιμετωπίζει τεράστια πίεση από τις αρχές σε όλο τον κόσμο για να διορθώσει τα ελαττώματα ασφαλείας. Θα διενεργήσει επίσης μια ολοκληρωμένη αναθεώρηση με τρίτους ειδικούς και αντιπροσωπευτικούς χρήστες για να κατανοήσει και να διασφαλίσει την ασφάλεια της υπηρεσίας της. Μάθετε περισσότερα για αυτήν την ανακοίνωση εδώ.