Zoom admite că a direcționat unele apeluri prin China din greșeală

Acasă » Noutăţi

Pictograma timp de citire 4 min. citit

Pictogramă calendar Publicat în data de

by Anmol Mehrotra 

publicat pe

Distribuiți acest articol

Cititorii ajută la sprijinirea MSpoweruser. Este posibil să primim un comision dacă cumpărați prin link-urile noastre. Pictograma Tooltip

Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe

zoom

Pandemia de coronavirus a cunoscut o creștere a utilizării Zoom, dar software-ul a fost mai mult de un intimitate coşmar pentru companii și indivizi din întreaga lume. Mai devreme astăzi, noi raportate cum au ajuns înregistrările Zoom pe internet și imediat după aceea, cercetătorii de securitate de la Laboratorul cetățean a publicat un raport în care susținea că compania a direcționat unele apeluri prin China.

În raport, Laboratorul cetățean a spus că compania a direcționat unele dintre apeluri și cheile de criptare respective prin China. Noi raportate mai devreme, modul în care compania are cheile de criptare, motiv pentru care serviciul nu este exact criptat de la capăt la capăt, așa cum a susținut compania. Într-o blog, compania a spus că a „implementat controale interne solide și validate pentru a preveni accesul neautorizat la orice conținut pe care utilizatorii îl partajează în timpul întâlnirilor”. Cu toate acestea, nu același lucru se poate spune despre autoritățile chineze care ar putea, teoretic, să acceseze apelurile direcționate prin China.

Constatări cheie ale Citizen Lab

  • zoom documentaţie susține că aplicația folosește criptarea „AES-256” pentru întâlniri, acolo unde este posibil. Totuși, constatăm că în fiecare întâlnire Zoom, o singură cheie AES-128 este utilizată în modul ECB de către toți participanții pentru a cripta și decripta audio și video. Utilizarea modului ECB nu este recomandată deoarece modelele prezente în textul simplu sunt păstrate în timpul criptării.
  • Cheile AES-128, despre care am verificat că sunt suficiente pentru a decripta pachetele Zoom interceptate în traficul de internet, par a fi generate de serverele Zoom și, în unele cazuri, sunt livrate participanților la o întâlnire Zoom prin servere din China, chiar și atunci când toate întâlnirile participanții și compania abonatului Zoom se află în afara Chinei.
  • Zoom, o companie din Silicon Valley, pare să dețină trei companii în China prin care cel puțin 700 de angajați sunt plătiți pentru a dezvolta software-ul Zoom. Acest aranjament este aparent un efort arbitrajul muncii: Zoom poate evita plata salariilor din SUA în timp ce vinde clienților din SUA, crescând astfel marja de profit. Cu toate acestea, acest aranjament poate face Zoom să răspundă presiunilor din partea autorităților chineze.

Zoom a confirmat acum că compania a direcționat apelurile din greșeală. CEO-ul companiei, Eric Yuan, a dat următoarea declarație:

În timpul operațiunilor normale, clienții Zoom încearcă să se conecteze la o serie de centre de date primare în sau în apropierea regiunii unui utilizator și, dacă aceste multiple încercări de conectare nu reușesc din cauza congestionării rețelei sau a altor probleme, clienții vor ajunge la două centre de date secundare în afara unei liste de mai multe centre de date secundare ca un potențial pod de rezervă la platforma Zoom. În toate cazurile, clienților Zoom li se oferă o listă de centre de date adecvate regiunii lor. Acest sistem este esențial pentru fiabilitatea mărcilor Zoom, în special în perioadele de stres masiv pe internet.

În rezumat, apelurile provenite din America de Nord ar trebui să fie direcționate prin servere americane la fel ca apelurile făcute în Europa. Cu toate acestea, compania poate direcționa apelurile prin cel mai apropiat server cu cea mai mare capacitate disponibilă dacă se confruntă cu o creștere a traficului. Acest lucru nu se aplică Chinei, deoarece țările occidentale au preocupări cu privire la China și, prin urmare, companiile nu direcționează traficul prin China chiar și atunci când alte servere sunt copleșite. Compania, în acest caz, a încălcat acest lucru și a direcționat apelurile americane prin China când au existat vârfuri de trafic.

Bill Marczak de la Citizen Lab a spus TechCrunch că a fost „prudent optimist” cu privire la răspunsul lui Zoom.

Problema mai mare aici este că Zoom se pare că și-a scris propria schemă pentru criptarea și securizarea apelurilor”, a spus el, și că „există servere Zoom în Beijing care au acces la cheile de criptare a întâlnirii.

Dacă sunteți o entitate bine dotată, obținerea unei copii a traficului de internet care conține un apel Zoom criptat de mare valoare poate nu este atât de greu.

Trecerea uriașă către platforme precum Zoom în timpul pandemiei de COVID-19 face ca platformele precum Zoom să fie ținte atractive pentru multe tipuri diferite de agenții de informații, nu doar pentru China. Din fericire, compania a dat (până în prezent) toate notele potrivite în răspunsul la acest nou val de control din partea cercetătorilor de securitate și s-a angajat să aducă îmbunătățiri în aplicația lor.

– Bill Marczak

În timp ce compania a anunțat recent că va întrerupe actualizările caracteristicilor pentru a se concentra pe remedierea problemelor de securitate, se confruntă în continuare cu presiuni masive din partea autorităților din întreaga lume pentru a remedia defectele de securitate. De asemenea, va efectua o analiză cuprinzătoare cu experți terți și utilizatori reprezentativi pentru a înțelege și a asigura securitatea serviciului său. Aflați mai multe despre acest anunț aici.

Mai multe despre subiecte: vulnerabilități de securitate, zoom

Anmol Mehrotra

Anmol Mehrotra Scut

Android și Windows News Reporter

Anmol acoperă știrile Android și Windows. Este un scriitor de tehnologie cu peste un deceniu de experiență.

Lasă un comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate *