Zoom承认它错误地将一些电话路由到中国

冠状病毒大流行使 Zoom 的使用有所增加，但该软件更像是一种 隐私 恶梦 公司 和世界各地的个人。 今天早些时候，我们 报道 Zoom 录音是如何进入互联网的，紧接着，安全研究人员 公民实验室 发表了一份报告，声称该公司已通过中国转接了一些电话。

在报告中， 公民实验室 表示该公司通过中国路由了一些呼叫及其各自的加密密钥。 我们 报道 早些时候公司如何拥有加密密钥，这就是为什么该服务没有像公司声称的那样完全加密的原因。 在一个 博客文章，该公司表示已“实施了强大且经过验证的内部控制，以防止未经授权访问用户在会议期间共享的任何内容。” 然而，对于理论上可以访问通过中国路由的电话的中国当局来说，情况并非如此。

公民实验室的主要发现

• Zoom 文件 声称该应用程序在可能的情况下对会议使用“AES-256”加密。 然而，我们发现在每个 Zoom 会议中，所有参与者都使用一个 AES-128 密钥在 ECB 模式下对音频和视频进行加密和解密。 不推荐使用 ECB 模式，因为明文中存在的模式在加密期间会被保留。
• 我们验证的 AES-128 密钥足以解密在互联网流量中截获的 Zoom 数据包，似乎是由 Zoom 服务器生成的，并且在某些情况下，通过中国的服务器传递给 Zoom 会议的参与者，即使所有会议参与者和 Zoom 订阅者的公司不在中国。
• Zoom 是一家总部位于硅谷的公司，它似乎在中国拥有 700 家公司，至少 XNUMX 名员工通过这些公司获得报酬，以开发 Zoom 的软件。 这种安排表面上是为了 劳动套利：Zoom 可以在向美国客户销售产品的同时避免支付美国工资，从而提高他们的利润率。 然而，这种安排可能会让 Zoom 对来自中国当局的压力做出反应。

Zoom 现在已确认该公司错误地转接了电话。 该公司首席执行官 Eric Yuan 发表了以下声明：

在正常操作期间，Zoom客户端会尝试连接到用户区域内或附近的一系列主要数据中心，如果这些多次连接尝试由于网络拥塞或其他问题而失败，则客户端将从列表中的两个辅助数据中心中获取资源。多个辅助数据中心，作为通往Zoom平台的潜在备份桥。 在所有情况下，都会为Zoom客户端提供适合其区域的数据中心列表。 该系统对于Zoom的商标可靠性至关重要，特别是在互联网压力很大的时候。

总之，来自北美的呼叫应该通过美国服务器路由，就像在欧洲发出的呼叫一样。 但是，如果遇到流量高峰，该公司可以通过最近的可用容量最大的服务器路由呼叫。 这不适用于中国，因为西方国家对中国有担忧，因此即使其他服务器不堪重负，公司也不会通过中国路由流量。 在这种情况下，该公司违反了这一规定，并在流量高峰时将美国电话转接到中国。

Citizen Lab 的 Bill Marczak 告诉 TechCrunch 他对 Zoom 的反应“谨慎乐观”。

这里更大的问题是，Zoom 显然已经编写了自己的加密和保护通话方案，”他说，“北京有 Zoom 服务器可以访问会议加密密钥。

如果您是一个资源充足的实体，获取包含一些特别高价值的加密 Zoom 呼叫的互联网流量副本可能并不难。

在 COVID-19 大流行期间，向 Zoom 等平台的巨大转变使得 Zoom 等平台成为许多不同类型情报机构的目标，而不仅仅是中国。 幸运的是，该公司（到目前为止）在应对安全研究人员的新一轮审查方面做得很好，并承诺改进他们的应用程序。

——比尔·马尔扎克

尽管该公司最近宣布该公司将暂停功能更新以专注于解决安全问题，但它仍然面临来自世界各地当局修复安全漏洞的巨大压力。 它还将与第三方专家和代表用户进行全面审查，以了解和确保其服务的安全性。 了解有关此公告的更多信息 相关信息.