A Zoom elismeri, hogy néhány hívást tévedésből irányított át Kínán

Kezdőlap » Hírek

Olvasási idő ikonra 4 perc olvas

Naptár ikonra Publikálva

by Anmol Mehrotra 

közzétették

Ossza meg ezt a cikket

Az olvasók segítenek az MSpoweruser támogatásában. Kaphatunk jutalékot, ha a linkjeinken keresztül vásárol. Eszköztipp ikon

Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább

Zoomolás

A koronavírus-járvány miatt megnövekedett a Zoom használata, de a szoftver inkább a magánélet lidércnyomás mert társaságok és magánszemélyek szerte a világon. Ma korábban mi jelentett hogyan kerültek a Zoom-felvételek az internetre, és közvetlenül ezt követően a biztonsági kutatók at Citizen Lab közzétett egy jelentést, amely szerint a vállalat néhány hívást Kínán keresztül irányított.

A jelentésben Citizen Lab azt mondta, hogy a vállalat a hívások egy részét és a hozzájuk tartozó titkosítási kulcsokat Kínán keresztül irányította. Mi jelentett korábban, hogy a vállalat hogyan rendelkezik a titkosítási kulcsokkal, ezért a szolgáltatás nem teljesen végpontokig titkosított, ahogyan azt a vállalat állítja. Az a blogbejegyzés, a vállalat azt mondta, hogy „erős és hitelesített belső ellenőrzéseket vezetett be, hogy megakadályozza az illetéktelen hozzáférést a felhasználók megbeszélések során megosztott tartalmakhoz”. Ugyanez azonban nem mondható el a kínai hatóságokról, amelyek elméletileg hozzáférhetnének a Kínán keresztül irányított hívásokhoz.

A Citizen Lab legfontosabb megállapításai

  • Zoomolás dokumentáció azt állítja, hogy az alkalmazás „AES-256” titkosítást használ a megbeszélésekhez, ahol lehetséges. Azt tapasztaljuk azonban, hogy minden egyes Zoom megbeszélésen egyetlen AES-128 kulcsot használ EKB módban az összes résztvevő a hang és a kép titkosításához és visszafejtéséhez. Az EKB mód használata nem javasolt, mert a titkosítás során a nyílt szövegben lévő minták megmaradnak.
  • Az AES-128 kulcsokat, amelyekről ellenőriztük, hogy elegendőek az internetes forgalomban elfogott Zoom-csomagok visszafejtéséhez, úgy tűnik, hogy a Zoom-szerverek generálják, és bizonyos esetekben Kínában lévő szervereken keresztül eljuttatják a Zoom-megbeszélés résztvevőihez, még akkor is, ha az összes megbeszélés. résztvevők és a Zoom-előfizető cége Kínán kívül található.
  • A Zoom, a Szilícium-völgyben székelő cég, úgy tűnik, három kínai vállalattal rendelkezik, amelyeken keresztül legalább 700 alkalmazottat fizetnek a Zoom szoftverének fejlesztéséért. Ez az elrendezés látszólag erőfeszítés munkaerő arbitrázs: A Zoom elkerülheti az egyesült államokbeli bérek kifizetését, miközben egyesült államokbeli ügyfeleknek értékesít, így növelve a haszonkulcsukat. Ez a megállapodás azonban képessé teheti a Zoom-ot a kínai hatóságok nyomására.

A Zoom most megerősítette, hogy a cég tévedésből irányította a hívásokat. A cég vezérigazgatója, Eric Yuan a következő nyilatkozatot tette:

Normál műveletek során a Zoom kliensek megpróbálnak csatlakozni egy elsődleges adatközpontok sorozatához a felhasználó régiójában vagy annak közelében, és ha ezek a többszörös csatlakozási kísérletek sikertelenek hálózati torlódások vagy más problémák miatt, akkor az ügyfelek két másodlagos adatközpontot keresnek meg a több másodlagos adatközpont, mint potenciális biztonsági híd a Zoom platformhoz. A Zoom kliensek minden esetben megkapják a régiójuknak megfelelő adatközpontok listáját. Ez a rendszer kritikus fontosságú a Zoom védjegyének megbízhatósága szempontjából, különösen hatalmas internetes stressz idején.

Összefoglalva, az Észak-Amerikából induló hívásokat az európai hívásokhoz hasonlóan amerikai szervereken keresztül kell irányítani. A vállalat azonban átirányíthatja a hívásokat a legközelebbi, legnagyobb kapacitású szerveren, ha forgalmi kiugrást tapasztal. Ez nem vonatkozik Kínára, mivel a nyugati országok aggódnak Kínával kapcsolatban, ezért a vállalatok még akkor sem irányítják át a forgalmat Kínán, ha más szerverek túlterheltek. A cég ebben az esetben ezt megszegte, és az amerikai hívásokat Kínán keresztül irányította, amikor forgalmi kiugrások voltak.

A Citizen Lab munkatársa, Bill Marczak elmondta TechCrunch hogy „óvatosan optimista” Zoom válaszát illetően.

A nagyobb probléma itt az, hogy a Zoom láthatóan saját sémát írt a hívások titkosítására és védelmére” – mondta, és hogy „Pekingben vannak olyan Zoom-szerverek, amelyek hozzáférnek a találkozó titkosítási kulcsaihoz.

Ha Ön egy jó erőforrással rendelkező entitás, akkor talán nem is olyan nehéz másolatot szerezni az internetes forgalomról, amely néhány különösen nagy értékű titkosított Zoom-hívást tartalmaz.

A COVID-19 világjárvány idején az olyan platformokra való hatalmas átállás, mint a Zoom, az olyan platformokat, mint a Zoom, vonzó célponttá teszi számos különböző típusú hírszerző ügynökség számára, nem csak Kína számára. Szerencsére a vállalat (eddig) minden megfelelő lépést elért, amikor reagált a biztonsági kutatók új vizsgálati hullámára, és elkötelezte magát az alkalmazás fejlesztése mellett.

– Marczak Bill

Noha a vállalat nemrégiben bejelentette, hogy a vállalat felfüggeszti a funkciók frissítését, hogy a biztonsági problémák megoldására összpontosítson, továbbra is hatalmas nyomás nehezedik rá a hatóságok részéről szerte a világon, hogy javítsák ki a biztonsági hibákat. Ezenkívül átfogó felülvizsgálatot végez harmadik fél szakértőivel és reprezentatív felhasználókkal, hogy megértse és biztosítsa szolgáltatása biztonságát. Tudjon meg többet erről a bejelentésről itt.

Bővebben a témákról: biztonsági réseket, Zoomolás

Anmol Mehrotra

Anmol Mehrotra Shield

Android és Windows News Reporter

Az Anmol Android és Windows hírekkel foglalkozik. Technikai író, több mint egy évtizedes tapasztalattal.

Hagy egy Válaszol

E-mail címed nem kerül nyilvánosságra. Kötelező kitölteni *