Zoom innrømmer at den rutet noen anrop gjennom Kina ved en feiltakelse

Hjemprodukt » Nyheter

Ikon for lesetid 4 min. lese

Kalenderikon Publisert på

by Anmol Mehrotra 

publisert på

Del denne artikkelen

Lesere hjelper til med å støtte MSpoweruser. Vi kan få provisjon hvis du kjøper gjennom lenkene våre. Verktøytipsikon

Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer

Zoom

Koronaviruspandemien har sett en økning i bruken av Zoom, men programvaren har vært mer en privatliv mareritt forum selskaper og enkeltpersoner over hele verden. Tidligere i dag har vi rapportert hvordan Zoom-opptak kom til internett og umiddelbart etter det, sikkerhetsforskere på Citizen Lab publiserte en rapport som hevdet at selskapet hadde rutet noen anrop gjennom Kina.

I rapporten Citizen Lab sa at selskapet rutet noen av samtalene og deres respektive krypteringsnøkler gjennom Kina. Vi rapportert tidligere hvordan selskapet har krypteringsnøklene, og derfor er ikke tjenesten akkurat ende-til-ende kryptert slik selskapet hevder. I en blogginnlegg, sa selskapet at det har "implementert robuste og validerte interne kontroller for å forhindre uautorisert tilgang til innhold som brukere deler under møter." Det samme kan imidlertid ikke sies for kinesiske myndigheter som i teorien kunne få tilgang til samtaler rutet gjennom Kina.

Nøkkelfunn fra Citizen Lab

  • Zoom dokumentasjon hevder at appen bruker "AES-256"-kryptering for møter der det er mulig. Vi finner imidlertid at i hvert Zoom-møte brukes en enkelt AES-128-nøkkel i ECB-modus av alle deltakerne for å kryptere og dekryptere lyd og video. Bruk av ECB-modus anbefales ikke fordi mønstre som finnes i klarteksten blir bevart under kryptering.
  • AES-128-nøklene, som vi bekreftet er tilstrekkelige til å dekryptere Zoom-pakker som fanges opp i Internett-trafikk, ser ut til å være generert av Zoom-servere, og blir i noen tilfeller levert til deltakere i et Zoom-møte gjennom servere i Kina, selv når alle møter deltakere, og Zoom-abonnentens selskap, er utenfor Kina.
  • Zoom, et Silicon Valley-basert selskap, ser ut til å eie tre selskaper i Kina der minst 700 ansatte får betalt for å utvikle Zooms programvare. Denne ordningen er tilsynelatende et forsøk på arbeidsarbitrage: Zoom kan unngå å betale amerikanske lønninger mens du selger til amerikanske kunder, og dermed øke fortjenestemarginen deres. Denne ordningen kan imidlertid gjøre at Zoom reagerer på press fra kinesiske myndigheter.

Zoom har nå bekreftet at selskapet rutet anrop ved en feiltakelse. Selskapets administrerende direktør Eric Yuan ga følgende uttalelse:

Under normale operasjoner prøver Zoom-klienter å koble seg til en serie primære datasentre i eller i nærheten av en brukers region, og hvis de flere tilkoblingsforsøkene mislykkes på grunn av nettverkstetthet eller andre problemer, vil klienter nå ut til to sekundære datasentre utenfor en liste over flere sekundære datasentre som en potensiell backupbro til Zoom-plattformen. I alle tilfeller får Zoom-klienter en liste over datasentre som passer for deres region. Dette systemet er avgjørende for Zooms varemerkets pålitelighet, spesielt i tider med massiv internettstress.

Oppsummert, anropene som kommer fra Nord-Amerika er ment å bli rutet gjennom amerikanske servere akkurat som anropene i Europa. Selskapet kan imidlertid rute samtalene gjennom nærmeste server med mest tilgjengelig kapasitet hvis det opplever en trafikkøkning. Dette er ikke aktuelt for Kina siden vestlige land har bekymringer for Kina, og derfor ruter ikke selskaper trafikk gjennom Kina selv når andre servere er overveldet. Selskapet, i dette tilfellet, brøt det og dirigerte amerikanske samtaler gjennom Kina når det var trafikktopper.

Citizen Labs Bill Marczak fortalte TechCrunch at han var "forsiktig optimistisk" angående Zooms svar.

Det større problemet her er at Zoom tilsynelatende har skrevet sitt eget opplegg for kryptering og sikring av samtaler," sa han, og at "det er Zoom-servere i Beijing som har tilgang til møtekrypteringsnøklene.

Hvis du er en enhet med gode ressurser, er det kanskje ikke så vanskelig å få tak i en kopi av internetttrafikken som inneholder en kryptert Zoom-samtale med høy verdi.

Det enorme skiftet til plattformer som Zoom under COVID-19-pandemien gjør plattformer som Zoom attraktive mål for mange forskjellige typer etterretningsbyråer, ikke bare Kina. Heldigvis har selskapet (så langt) truffet alle de riktige tonene i å svare på denne nye bølgen av gransking fra sikkerhetsforskere, og har forpliktet seg til å gjøre forbedringer i appen deres.

– Bill Marczak

Mens selskapet nylig annonserte at selskapet vil sette funksjonsoppdateringer på pause for å konsentrere seg om å fikse sikkerhetsproblemene, står det fortsatt overfor massivt press fra myndigheter rundt om i verden for å fikse sikkerhetsfeilene. Den vil også gjennomføre en omfattende gjennomgang med tredjepartseksperter og representative brukere for å forstå og sikre sikkerheten til tjenesten. Finn ut mer om denne kunngjøringen her..

Mer om temaene: sikkerhetsproblemer, Zoom

Anmol Mehrotra

Anmol Mehrotra Shield

Android og Windows News Reporter

Anmol dekker Android- og Windows-nyheter. Han er en teknisk forfatter med over ti års erfaring.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket *