ズームは、それが誤って中国を経由していくつかの通話をルーティングしたことを認めています

ホーム » ニュース

読書時間アイコン 4分。 読んだ

カレンダーアイコン 上で公開

by アンモル・メロトラ 

上の公表

この記事を共有する

読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

Zoom

コロナウイルスのパンデミックはZoomの使用が増加していますが、ソフトウェアは プライバシー 悪夢 for について詳しく見る そして世界中の個人。 今日の初めに、私たちは 報告 ズームレコーディングがどのようにインターネットに到達したか、そしてその直後に、セキュリティ研究者は シチズンラボ 同社が中国を経由していくつかの通話をルーティングしたと主張するレポートを公開しました。

報告書では、 シチズンラボ 同社は、一部の通話とそれぞれの暗号化キーを中国経由でルーティングしたと述べた。 私たち 報告 以前、会社が暗号化キーを持っている方法。これが、会社が主張するようにサービスが正確にエンドツーエンドで暗号化されていない理由です。 で ブログ投稿、同社は、「ユーザーが会議中に共有するコンテンツへの不正アクセスを防ぐために、堅牢で検証済みの内部統制を実装した」と述べています。 しかし、理論的には中国を経由する通話にアクセスできる中国当局についても同じことは言えません。

シチズンラボによる主な調査結果

  • Zoom ドキュメント アプリは可能な限り会議に「AES-256」暗号化を使用していると主張しています。 ただし、各Zoomミーティングで、すべての参加者が単一のAES-128キーをECBモードで使用して、オーディオとビデオを暗号化および復号化することがわかりました。 プレーンテキストに存在するパターンは暗号化中に保持されるため、ECBモードの使用はお勧めしません。
  • インターネットトラフィックで傍受されたZoomパケットを復号化するのに十分であることが確認されたAES-128キーは、Zoomサーバーによって生成されたように見え、場合によっては、すべての会議が行われている場合でも、中国のサーバーを介してZoom会議の参加者に配信されます。参加者とZoom加入者の会社は、中国国外にいます。
  • シリコンバレーに本拠を置くZoomは、中国に700つの会社を所有しているようで、Zoomのソフトウェアを開発するために少なくともXNUMX人の従業員が支払われています。 この取り決めは、表面上は 労働仲裁:Zoomは、米国の顧客に販売する際に米国の賃金を支払うことを回避できるため、利益率が向上します。 ただし、この配置により、Zoomは中国当局からの圧力に対応できるようになる可能性があります。

Zoomは、会社が誤って通話をルーティングしたことを確認しました。 同社のCEOであるEricYuanは、次のように述べています。

通常の操作中に、Zoomクライアントはユーザーのリージョン内またはその近くの一連のプライマリデータセンターへの接続を試みます。ネットワークの輻輳またはその他の問題が原因でこれらの複数の接続試行が失敗した場合、クライアントはリストからXNUMXつのセカンダリデータセンターに連絡します。 Zoomプラットフォームへの潜在的なバックアップブリッジとしてのいくつかのセカンダリデータセンター。 すべての場合において、Zoomクライアントには、その地域に適したデータセンターのリストが提供されています。 このシステムは、Zoomの商標の信頼性にとって、特にインターネットの負荷が非常に高いときに重要です。

要約すると、北米から発信された通話は、ヨーロッパで行われた通話と同じように、アメリカのサーバーを経由してルーティングされることになっています。 ただし、トラフィックの急増が発生している場合、会社は最も利用可能な容量を持つ最も近いサーバーを介して通話をルーティングできます。 欧米諸国は中国に懸念を抱いており、他のサーバーが圧倒されても企業は中国を経由してトラフィックをルーティングしないため、これは中国には当てはまりません。 この場合、会社はこれに違反し、トラフィックが急増したときにアメリカの通話を中国にルーティングしました。

シチズンラボのビルマルザックは言った TechCrunchの 彼はズームの反応について「慎重に楽観的」だったと。

ここでのより大きな問題は、Zoomが通話を暗号化して保護するための独自のスキームを作成したことです」と彼は言い、「北京には会議の暗号化キーにアクセスできるZoomサーバーがあります。

十分なリソースを備えたエンティティの場合、特に価値の高い暗号化されたZoom呼び出しを含むインターネットトラフィックのコピーを取得することは、おそらくそれほど難しくありません。

COVID-19パンデミックの間にZoomのようなプラットフォームに大きくシフトしたことで、Zoomのようなプラットフォームは、中国だけでなく、さまざまな種類の諜報機関にとって魅力的なターゲットになりました。 幸いなことに、同社は(これまでのところ)セキュリティ研究者からのこの新しい監視の波に対応する上ですべての正しいメモを打ち、アプリの改善に取り組んでいます。

–ビル・マルザック

同社は最近、セキュリティ問題の修正に集中するために機能の更新を一時停止すると発表しましたが、セキュリティの欠陥を修正するよう世界中の当局からの大きな圧力に直面しています。 また、サードパーティの専門家や代表的なユーザーとの包括的なレビューを実施して、サービスのセキュリティを理解し、保証します。 この発表の詳細 こちら.

トピックの詳細: セキュリティ脆弱性, Zoom

アンモル・メロトラ

アンモル・メロトラ シールド

Android および Windows ニュース レポーター

Anmol は Android と Windows のニュースをカバーしています。 彼は XNUMX 年以上の経験を持つテクノロジー ライターです。

コメントを残す

あなたのメールアドレスは公開されません。 必須フィールドは、マークされています *