Zoom признал, что по ошибке перенаправил некоторые звонки через Китай

Главная » Новости

Значок времени чтения 4 минута. читать

Значок календаря Опубликовано

by Анмол Мехротра 

Опубликован в

Поделиться этой статьей

Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Zoom

Пандемия коронавируса привела к росту использования Zoom, но программное обеспечение было скорее политикой конфиденциальности. кошмар для компании и отдельных лиц по всему миру. Ранее сегодня мы переправу как записи Zoom попали в Интернет, и сразу после этого исследователи безопасности из Citizen Lab опубликовал отчет, в котором утверждалось, что компания перенаправила некоторые звонки через Китай.

В отчете Citizen Lab сказал, что компания перенаправила некоторые звонки и соответствующие ключи шифрования через Китай. Мы переправу ранее, как у компании есть ключи шифрования, поэтому сервис не совсем зашифрован end-to-end, как заявляет компания. В блогеКомпания заявила, что «внедрила надежные и проверенные внутренние средства контроля для предотвращения несанкционированного доступа к любому контенту, которым пользователи делятся во время собраний». Однако этого нельзя сказать о китайских властям, которые теоретически могут получать доступ к звонкам, маршрутизируемым через Китай.

Ключевые выводы Citizen Lab

  • Zoom документации утверждает, что приложение использует шифрование «AES-256» для встреч, где это возможно. Однако мы обнаружили, что на каждом собрании Zoom все участники используют один ключ AES-128 в режиме ECB для шифрования и дешифрования аудио и видео. Использование режима ECB не рекомендуется, поскольку шаблоны, присутствующие в открытом тексте, сохраняются при шифровании.
  • Ключи AES-128, которые, как мы проверили, достаточны для расшифровки пакетов Zoom, перехваченных в интернет-трафике, по-видимому, генерируются серверами Zoom, а в некоторых случаях доставляются участникам собрания Zoom через серверы в Китае, даже если все собрания участники и компания подписчика Zoom находятся за пределами Китая.
  • Zoom, компания из Силиконовой долины, по-видимому, владеет тремя компаниями в Китае, через которые не менее 700 сотрудников получают зарплату за разработку программного обеспечения Zoom. Эта договоренность якобы является попыткой трудовой арбитраж: Zoom может избежать выплаты заработной платы в США при продаже клиентам из США, тем самым увеличивая их прибыль. Однако такая договоренность может заставить Zoom реагировать на давление со стороны китайских властей.

Теперь Zoom подтвердил, что компания перенаправляла звонки по ошибке. Генеральный директор компании Эрик Юань сделал следующее заявление:

Во время обычной работы клиенты Zoom пытаются подключиться к ряду первичных центров обработки данных в регионе пользователя или рядом с ним, и если эти многочисленные попытки подключения завершатся неудачно из-за перегрузки сети или других проблем, клиенты получат доступ к двум вторичным центрам обработки данных из списка несколько вторичных центров обработки данных в качестве потенциального резервного моста к платформе Zoom. Во всех случаях клиентам Zoom предоставляется список центров обработки данных, соответствующих их региону. Эта система имеет решающее значение для надежности торговой марки Zoom, особенно в периоды массовых интернет-стрессов.

Таким образом, звонки, исходящие из Северной Америки, должны маршрутизироваться через американские серверы точно так же, как звонки, сделанные в Европе. Однако компания может направить вызовы через ближайший сервер с наибольшей доступной емкостью, если у нее возникнет всплеск трафика. Это не относится к Китаю, поскольку западные страны обеспокоены Китаем, и поэтому компании не направляют трафик через Китай, даже когда другие серверы перегружены. В данном случае компания взломала это и перенаправила американские звонки через Китай, когда были всплески трафика.

Об этом заявил Билл Марчак из Citizen Lab. TechCrunch что он был «осторожно оптимистичен» в отношении ответа Зума.

Более серьезная проблема здесь заключается в том, что Zoom, по-видимому, написал свою собственную схему шифрования и защиты звонков», — сказал он, и что «в Пекине есть серверы Zoom, которые имеют доступ к ключам шифрования собраний.

Если вы хорошо обеспечены ресурсами, получить копию интернет-трафика, содержащего какой-то особенно ценный зашифрованный вызов Zoom, возможно, не так уж сложно.

Огромный переход на такие платформы, как Zoom, во время пандемии COVID-19 делает такие платформы, как Zoom, привлекательными целями для многих различных типов спецслужб, а не только для Китая. К счастью, компания (пока что) сделала все правильно, реагируя на эту новую волну проверок со стороны исследователей безопасности, и взяла на себя обязательство внести улучшения в свое приложение.

— Билл Марчак

Хотя компания недавно объявила, что будет приостанавливать обновления функций, чтобы сосредоточиться на исправлении проблем с безопасностью, она по-прежнему сталкивается с массовым давлением со стороны властей по всему миру с целью устранения недостатков безопасности. Он также проведет всестороннюю проверку со сторонними экспертами и репрезентативными пользователями, чтобы понять и обеспечить безопасность своего сервиса. Подробнее об этом объявлении здесь.

Подробнее о темах: уязвимостей, Zoom

Анмол Мехротра

Анмол Мехротра Щит

Репортер новостей Android и Windows

Anmol освещает новости Android и Windows. Он технический писатель с более чем десятилетним опытом.

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *