זום מודה שהוא ניתב כמה שיחות דרך סין בטעות

מגיפת הקורונה ראתה עלייה בשימוש בזום, אך התוכנה הייתה יותר פְּרָטִיוּת סיוט ל חברות ויחידים ברחבי העולם. מוקדם יותר היום, אנחנו דיווח כיצד הקלטות זום הגיעו לאינטרנט ומיד לאחר מכן, חוקרי אבטחה ב מעבדת אזרח פרסם דוח שטען שהחברה ניתבה כמה שיחות דרך סין.

בדו"ח, מעבדת אזרח אמר כי החברה ניתבה חלק מהשיחות ומפתחות ההצפנה שלהם דרך סין. אָנוּ דיווח קודם לכן איך לחברה יש את מפתחות ההצפנה, וזו הסיבה שהשירות לא בדיוק מוצפן מקצה לקצה כפי שנטען על ידי החברה. ב בלוג, החברה אמרה כי היא "הטמעה בקרות פנימיות חזקות ומאומתות כדי למנוע גישה בלתי מורשית לכל תוכן שמשתמשים משתפים במהלך פגישות". עם זאת, לא ניתן לומר את אותו הדבר לגבי הרשויות הסיניות שיכולות, בתיאוריה, לגשת לשיחות המנותבות דרך סין.

ממצאים מרכזיים של Citizen Lab

• זום תיעוד טוען שהאפליקציה משתמשת בהצפנת "AES-256" לפגישות במידת האפשר. עם זאת, אנו מוצאים שבכל פגישת זום, מפתח AES-128 בודד משמש במצב ECB על ידי כל המשתתפים כדי להצפין ולפענח אודיו ווידאו. השימוש במצב ECB אינו מומלץ מכיוון שהדפוסים הקיימים בטקסט הפשוט נשמרים במהלך ההצפנה.
• מפתחות ה-AES-128, שאותם אימתנו שהם מספיקים כדי לפענח מנות זום שיורטו בתעבורת אינטרנט, נראה שנוצרו על ידי שרתי זום, ובמקרים מסוימים, נמסרים למשתתפים בפגישת זום דרך שרתים בסין, גם כאשר כל הפגישה המשתתפים, והחברה של מנוי Zoom, נמצאים מחוץ לסין.
• נראה כי Zoom, חברה מבוססת עמק הסיליקון, מחזיקה בשלוש חברות בסין שבאמצעותן משלמים לפחות 700 עובדים כדי לפתח את התוכנה של זום. הסדר זה הוא לכאורה מאמץ ארביטראז' עבודה: זום יכולה להימנע מתשלום שכר בארה"ב בזמן מכירה ללקוחות בארה"ב, ובכך להגדיל את שולי הרווח שלהם. עם זאת, הסדר זה עשוי לגרום ל-Zoom להגיב ללחץ של הרשויות הסיניות.

זום אישרה כעת שהחברה ניתבה שיחות בטעות. מנכ"ל החברה אריק יואן מסר את ההצהרה הבאה:

במהלך פעולות רגילות, לקוחות זום מנסים להתחבר לסדרה של מרכזי נתונים ראשיים באזור או של משתמש, ובמידה וניסיונות חיבור מרובים אלה נכשלים בגלל עומס רשת או בעיות אחרות, הלקוחות יפנו לשני מרכזי נתונים משניים מתוך רשימה של כמה מרכזי נתונים משניים כגשר גיבוי פוטנציאלי לפלטפורמת הזום. בכל המקרים, ללקוחות זום מופיעה רשימה של מרכזי נתונים המתאימים לאזורם. מערכת זו היא קריטית לאמינות הסימן המסחרי של זום, במיוחד בתקופות של לחץ מאסיבי באינטרנט.

לסיכום, השיחות שמקורן מצפון אמריקה אמורות להיות מנותבות דרך שרתים אמריקאים בדיוק כמו השיחות שנעשו באירופה. עם זאת, החברה יכולה לנתב את השיחות דרך השרת הקרוב ביותר עם הקיבולת הזמינה ביותר אם היא חווה עלייה בתעבורה. זה לא חל על סין מכיוון שלמדינות מערביות יש דאגות לגבי סין ולכן חברות לא מנתבות תעבורה דרך סין גם כאשר שרתים אחרים מוצפים. החברה, במקרה הזה, הפרה את זה וניתבה שיחות אמריקאיות דרך סין כאשר היו עליות תנועה.

אמר ביל מרצ'ק של Citizen Lab TechCrunch שהוא היה "אופטימי בזהירות" לגבי התגובה של זום.

הבעיה הגדולה יותר כאן היא ש-Zoom כתבה כנראה תוכנית משלהם להצפנה ואבטחת שיחות", הוא אמר, וכי "יש שרתי זום בבייג'ינג שיש להם גישה למפתחות ההצפנה של הפגישה.

אם אתה ישות בעלת משאבים טובים, השגת עותק של תעבורת האינטרנט המכילה איזו שיחת זום מוצפנת בעלת ערך גבוה במיוחד היא אולי לא כל כך קשה.

המעבר העצום לפלטפורמות כמו זום במהלך מגיפת COVID-19 הופך פלטפורמות כמו זום למטרות אטרקטיביות עבור סוגים רבים ושונים של סוכנויות ביון, לא רק לסין. למרבה המזל, החברה רשמה (עד כה) את כל התווים הנכונים בתגובה לגל הבדיקה החדש הזה של חוקרי אבטחה, והתחייבה לבצע שיפורים באפליקציה שלהם.

– ביל מרזק

בעוד שהחברה הודיעה לאחרונה כי החברה תשהה את עדכוני התכונות כדי להתרכז בתיקון בעיות האבטחה, היא עדיין עומדת בפני לחץ עצום מצד רשויות ברחבי העולם לתקן את פגמי האבטחה. היא גם תערוך סקירה מקיפה עם מומחי צד שלישי ומשתמשים מייצגים כדי להבין ולהבטיח את אבטחת השירות שלה. למידע נוסף על הכרזה זו כאן.