Zoom ยอมรับว่าส่งสายบางสายผ่านประเทศจีนโดยไม่ได้ตั้งใจ

หน้าแรก » ข่าว

ไอคอนเวลาอ่านหนังสือ 4 นาที. อ่าน

ไอคอนปฏิทิน เผยแพร่เมื่อ

by อันมล เมห์โรตรา 

เผยแพร่บน

แชร์บทความนี้

ผู้อ่านช่วยสนับสนุน MSpoweruser เราอาจได้รับค่าคอมมิชชันหากคุณซื้อผ่านลิงก์ของเรา ไอคอนคำแนะนำเครื่องมือ

อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม

Zoom

การระบาดใหญ่ของโคโรนาไวรัสทำให้การใช้ Zoom เพิ่มขึ้น แต่ซอฟต์แวร์มีประโยชน์มากกว่า ความเป็นส่วนตัว ฝันร้าย for บริษัท และบุคคลทั่วโลก ก่อนหน้านี้เรา รายงาน วิธีที่บันทึกของ Zoom เข้าสู่อินเทอร์เน็ตและหลังจากนั้นนักวิจัยด้านความปลอดภัยที่ Lab พลเมือง ตีพิมพ์รายงานที่อ้างว่า บริษัท ได้กำหนดเส้นทางการโทรผ่านประเทศจีนแล้ว

ในรายงาน Lab พลเมือง กล่าวว่าบริษัทได้กำหนดเส้นทางการโทรบางส่วนและคีย์การเข้ารหัสตามลำดับผ่านประเทศจีน เรา รายงาน ก่อนหน้านี้บริษัทมีคีย์เข้ารหัสอย่างไร ซึ่งเป็นสาเหตุที่บริการไม่ได้เข้ารหัสแบบ end-to-end ตามที่บริษัทอ้างสิทธิ์ ใน โพสต์บล็อกบริษัทกล่าวว่ามี "ใช้การควบคุมภายในที่แข็งแกร่งและผ่านการตรวจสอบแล้ว เพื่อป้องกันการเข้าถึงเนื้อหาใดๆ ที่ผู้ใช้แชร์ระหว่างการประชุมโดยไม่ได้รับอนุญาต" อย่างไรก็ตาม ทางการจีนไม่สามารถพูดแบบเดียวกันได้ ซึ่งในทางทฤษฎีแล้ว สามารถเข้าถึงการโทรผ่านประเทศจีนได้

การค้นพบที่สำคัญโดย Citizen Lab

  • Zoom เอกสาร อ้างว่าแอปใช้การเข้ารหัส "AES-256" สำหรับการประชุมหากเป็นไปได้ อย่างไรก็ตาม เราพบว่าในการประชุม Zoom แต่ละครั้ง ผู้เข้าร่วมทุกคนจะใช้คีย์ AES-128 เพียงคีย์เดียวในโหมด ECB เพื่อเข้ารหัสและถอดรหัสเสียงและวิดีโอ ไม่แนะนำให้ใช้โหมด ECB เนื่องจากรูปแบบที่มีอยู่ในข้อความธรรมดาจะได้รับการเก็บรักษาไว้ระหว่างการเข้ารหัส
  • คีย์ AES-128 ซึ่งเราตรวจสอบแล้วว่าเพียงพอที่จะถอดรหัสแพ็คเก็ต Zoom ที่สกัดกั้นในการรับส่งข้อมูลทางอินเทอร์เน็ต ดูเหมือนว่าจะถูกสร้างขึ้นโดยเซิร์ฟเวอร์ Zoom และในบางกรณี จะถูกส่งไปยังผู้เข้าร่วมในการประชุม Zoom ผ่านเซิร์ฟเวอร์ในประเทศจีน แม้ว่าการประชุมทั้งหมด ผู้เข้าร่วมและบริษัทสมาชิก Zoom อยู่นอกประเทศจีน
  • Zoom ซึ่งเป็นบริษัทในซิลิคอนแวลลีย์ ดูเหมือนจะเป็นเจ้าของบริษัทสามแห่งในประเทศจีน โดยจ่ายเงินให้พนักงานอย่างน้อย 700 คนเพื่อพัฒนาซอฟต์แวร์ของ Zoom ข้อตกลงนี้เห็นได้ชัดว่าเป็นความพยายามที่ การเก็งกำไรแรงงาน: Zoom สามารถหลีกเลี่ยงการจ่ายค่าจ้างในสหรัฐฯ ขณะขายให้กับลูกค้าในสหรัฐฯ ได้ ซึ่งจะทำให้อัตรากำไรเพิ่มขึ้น อย่างไรก็ตาม ข้อตกลงนี้อาจทำให้ Zoom ตอบสนองต่อแรงกดดันจากทางการจีนได้

ขณะนี้ Zoom ได้ยืนยันแล้วว่าบริษัทได้ทำการโอนสายโดยไม่ได้ตั้งใจ Eric Yuan ซีอีโอของบริษัทได้ออกแถลงการณ์ดังต่อไปนี้:

ในระหว่างการดำเนินการตามปกติไคลเอนต์ Zoom จะพยายามเชื่อมต่อกับชุดข้อมูลหลักในหรือใกล้ภูมิภาคของผู้ใช้และหากความพยายามในการเชื่อมต่อหลายครั้งล้มเหลวเนื่องจากปัญหาการคับคั่งของเครือข่ายหรือปัญหาอื่น ๆ ดาต้าเซ็นเตอร์รองหลายรายการเป็นบริดจ์การสำรองข้อมูลที่มีศักยภาพไปยังแพลตฟอร์มซูม ในทุกกรณีไคลเอนต์ Zoom จะได้รับรายชื่อดาต้าเซ็นเตอร์ที่เหมาะสมกับภูมิภาคของพวกเขา ระบบนี้มีความสำคัญอย่างยิ่งต่อความเชื่อถือได้ของเครื่องหมายการค้าของ Zoom โดยเฉพาะในช่วงที่มีปัญหาทางอินเทอร์เน็ต

โดยสรุป การโทรที่มาจากอเมริกาเหนือควรจะกำหนดเส้นทางผ่านเซิร์ฟเวอร์ของอเมริกา เช่นเดียวกับการโทรในยุโรป อย่างไรก็ตาม บริษัทสามารถกำหนดเส้นทางการโทรผ่านเซิร์ฟเวอร์ที่ใกล้ที่สุดด้วยความจุที่พร้อมใช้งานมากที่สุด หากพบว่ามีปริมาณการใช้งานเพิ่มขึ้น สิ่งนี้ไม่สามารถใช้ได้กับจีน เนื่องจากประเทศตะวันตกมีความกังวลเกี่ยวกับจีน ดังนั้นบริษัทต่างๆ จึงไม่กำหนดเส้นทางการรับส่งข้อมูลผ่านประเทศจีน แม้ว่าเซิร์ฟเวอร์อื่นๆ จะล้นหลามก็ตาม ในกรณีนี้ บริษัท ละเมิดสิ่งนั้นและกำหนดเส้นทางการโทรของอเมริกาผ่านประเทศจีนเมื่อมีการจราจรติดขัด

Bill Marczak จาก Citizen Lab บอก TechCrunch ว่าเขา "มองโลกในแง่ดีอย่างระมัดระวัง" เกี่ยวกับการตอบสนองของ Zoom

ปัญหาใหญ่ที่นี่คือ Zoom ได้เขียนแผนของตนเองสำหรับการเข้ารหัสและรักษาความปลอดภัยให้กับการโทร” เขากล่าว และว่า “มีเซิร์ฟเวอร์ Zoom ในกรุงปักกิ่งที่สามารถเข้าถึงคีย์การเข้ารหัสการประชุมได้

หากคุณเป็นหน่วยงานที่มีทรัพยากรเพียงพอ การขอรับสำเนาของการรับส่งข้อมูลทางอินเทอร์เน็ตที่มีการโทร Zoom ที่เข้ารหัสที่มีมูลค่าสูงอาจไม่ใช่เรื่องยาก

การเปลี่ยนแปลงครั้งใหญ่ของแพลตฟอร์มอย่าง Zoom ในช่วงการระบาดของ COVID-19 ทำให้แพลตฟอร์มอย่าง Zoom กลายเป็นเป้าหมายที่น่าดึงดูดสำหรับหน่วยงานข่าวกรองหลายประเภท ไม่ใช่แค่ในจีน โชคดีที่บริษัท (จนถึงตอนนี้) ได้รับทราบข้อมูลที่ถูกต้องทั้งหมดในการตอบสนองต่อคลื่นลูกใหม่ของการตรวจสอบจากนักวิจัยด้านความปลอดภัย และได้มุ่งมั่นที่จะปรับปรุงแอปของตน

– บิล มาร์แซค

ในขณะที่บริษัทได้ประกาศเมื่อเร็วๆ นี้ว่าบริษัทจะหยุดการอัปเดตฟีเจอร์ชั่วคราวเพื่อมุ่งเน้นที่การแก้ไขปัญหาด้านความปลอดภัย แต่ก็ยังต้องเผชิญกับแรงกดดันมหาศาลจากหน่วยงานต่างๆ ทั่วโลกในการแก้ไขข้อบกพร่องด้านความปลอดภัย นอกจากนี้ยังจะดำเนินการตรวจสอบอย่างครอบคลุมกับผู้เชี่ยวชาญจากภายนอกและตัวแทนผู้ใช้เพื่อทำความเข้าใจและรับรองความปลอดภัยของบริการ เรียนรู้เพิ่มเติมเกี่ยวกับประกาศนี้ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.

ข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ: ช่องโหว่ด้านความปลอดภัย, Zoom

อันมล เมห์โรตรา

อันมล เมห์โรตรา โล่

ผู้รายงานข่าว Android และ Windows

Anmol ครอบคลุมข่าว Android และ Windows เขาเป็นนักเขียนด้านเทคโนโลยีที่มีประสบการณ์มากกว่าทศวรรษ

เขียนความเห็น

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมาย *