Zoom, 실수로 중국을 통해 일부 통화 라우팅 인정

» 뉴스

독서 시간 아이콘 4 분. 읽다

달력 아이콘 에 게시됨

by 안몰 메로트라 

에 게시

이 기사 공유

독자들은 MSpoweruser를 지원하는 데 도움을 줍니다. 당사의 링크를 통해 구매하시면 수수료를 받을 수 있습니다. 툴팁 아이콘

공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기

줌

코로나 바이러스 전염병으로 Zoom 사용이 증가했지만 소프트웨어는 개인 정보 보호 악몽 for 기업 그리고 전 세계의 개인. 오늘 일찍 우리는 신고 Zoom 녹화가 어떻게 인터넷에 퍼졌고 그 직후 보안 연구원들은 시민 연구소 회사가 중국을 통해 일부 통화를 라우팅했다고 주장하는 보고서를 발표했습니다.

보고서에서, 시민 연구소 회사는 일부 통화와 해당 암호화 키를 중국을 통해 라우팅했다고 말했습니다. 우리 신고 이전에 회사가 암호화 키를 보유하는 방법이 회사에서 주장하는 것처럼 서비스가 정확히 종단 간 암호화되지 않은 이유입니다. 안에 블로그 게시물, 회사는 "사용자가 회의 중에 공유하는 모든 콘텐츠에 대한 무단 액세스를 방지하기 위해 강력하고 검증된 내부 통제를 구현했습니다."라고 말했습니다. 그러나 이론적으로 중국을 통해 라우팅된 통화에 액세스할 수 있는 중국 당국에 대해서는 동일하게 말할 수 없습니다.

Citizen Lab의 주요 결과

  • 줌 선적 서류 비치 앱은 가능한 경우 회의에 "AES-256" 암호화를 사용한다고 주장합니다. 그러나 각 Zoom 회의에서 단일 AES-128 키가 ECB 모드에서 모든 참가자가 오디오 및 비디오를 암호화 및 암호 해독하는 데 사용된다는 사실을 발견했습니다. 평문에 있는 패턴이 암호화 중에 보존되기 때문에 ECB 모드를 사용하지 않는 것이 좋습니다.
  • 우리가 확인한 AES-128 키는 인터넷 트래픽에서 가로채는 Zoom 패킷을 복호화하기에 충분하며 Zoom 서버에서 생성된 것으로 보이며 경우에 따라 모든 회의가 종료된 경우에도 중국 서버를 통해 Zoom 회의 참가자에게 전달됩니다. 참가자 및 Zoom 가입자의 회사는 중국 외부에 있습니다.
  • 실리콘 밸리에 기반을 둔 회사인 Zoom은 중국에 700개의 회사를 소유하고 있는 것으로 보이며, 이 회사를 통해 Zoom의 소프트웨어를 개발하는 데 최소 XNUMX명의 직원이 급여를 받습니다. 이 배열은 표면적으로는 노동 차익 거래: Zoom은 미국 고객에게 판매하는 동안 미국 임금을 지불하지 않아도 되므로 이윤을 높일 수 있습니다. 그러나 이러한 배치로 인해 Zoom은 중국 당국의 압력에 대응할 수 있습니다.

Zoom은 이제 회사가 실수로 전화를 라우팅했음을 확인했습니다. 회사 CEO Eric Yuan은 다음과 같은 성명을 발표했습니다.

일반적인 작업 중에 Zoom 클라이언트는 사용자 지역 내 또는 근처의 일련의 기본 데이터 센터에 연결을 시도하고 네트워크 혼잡 또는 기타 문제로 인해 여러 연결 시도가 실패하면 클라이언트는 줌 플랫폼에 대한 잠재적 백업 브릿지로서의 여러 보조 데이터 센터. 모든 경우에 Zoom 클라이언트에는 해당 지역에 적합한 데이터 센터 목록이 제공됩니다. 이 시스템은 특히 인터넷 스트레스가 심할 때 Zoom의 상표 신뢰성에 중요합니다.

요약하면 북미에서 발신되는 전화는 유럽에서 거는 전화와 마찬가지로 미국 서버를 통해 라우팅되어야 합니다. 그러나 회사는 트래픽 급증이 발생하는 경우 가장 가용한 용량을 가진 가장 가까운 서버를 통해 통화를 라우팅할 수 있습니다. 서방 국가는 중국에 대한 우려가 있으므로 회사는 다른 서버가 압도하더라도 중국을 통해 트래픽을 라우팅하지 않기 때문에 이것은 중국에 적용되지 않습니다. 이 경우 회사는 이를 위반하고 트래픽이 급증할 때 중국을 통해 미국 전화를 라우팅했습니다.

Citizen Lab의 Bill Marczak은 다음과 같이 말했습니다. 테크 크런치 그는 Zoom의 반응에 대해 "조심스럽게 낙관적"이라고 말했습니다.

여기서 더 큰 문제는 Zoom이 통화 암호화 및 보안을 위한 자체 계획을 작성한 것 같습니다.”라고 그는 말했습니다. “베이징에 회의 암호화 키에 액세스할 수 있는 Zoom 서버가 있습니다.

리소스가 풍부한 엔터티라면 특히 가치가 높은 암호화된 Zoom 호출이 포함된 인터넷 트래픽의 복사본을 얻는 것이 그리 어렵지 않을 것입니다.

COVID-19 팬데믹 동안 Zoom과 같은 플랫폼으로의 대규모 전환으로 인해 Zoom과 같은 플랫폼은 중국뿐만 아니라 다양한 유형의 정보 기관의 매력적인 표적이 되었습니다. 다행히 회사는 (지금까지) 보안 연구원의 새로운 조사 물결에 응답하여 모든 올바른 메모를 작성했으며 앱을 개선하기 위해 최선을 다했습니다.

– 빌 마크작

회사는 최근 회사가 보안 문제 해결에 집중하기 위해 기능 업데이트를 일시 중지할 것이라고 발표했지만 여전히 보안 결함을 수정하라는 전 세계 당국의 엄청난 압력에 직면해 있습니다. 또한 서비스의 보안을 이해하고 보장하기 위해 제XNUMX자 전문가 및 대표 사용자와 함께 포괄적인 검토를 수행합니다. 이 발표에 대해 자세히 알아보기 여기에서 지금 확인해 보세요..

주제에 대한 추가 정보: 보안 취약점,

안몰 메로트라

안몰 메로트라 방패

Android 및 Windows 뉴스 리포터

Anmol은 Android 및 Windows 뉴스를 다룹니다. 그는 XNUMX년 이상의 경험을 가진 기술 작가입니다.

댓글을 남겨주세요.

귀하의 이메일 주소는 공개되지 않습니다. *표시항목은 꼭 기재해 주세요. *