Zoom承认它错误地将一些电话路由到中国
4分钟读
发表于
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
冠状病毒大流行使 Zoom 的使用有所增加,但该软件更像是一种 隐私 恶梦 公司 和世界各地的个人。 今天早些时候,我们 报道 Zoom 录音是如何进入互联网的,紧接着,安全研究人员 公民实验室 发表了一份报告,声称该公司已通过中国转接了一些电话。
在报告中, 公民实验室 表示该公司通过中国路由了一些呼叫及其各自的加密密钥。 我们 报道 早些时候公司如何拥有加密密钥,这就是为什么该服务没有像公司声称的那样完全加密的原因。 在一个 博客文章,该公司表示已“实施了强大且经过验证的内部控制,以防止未经授权访问用户在会议期间共享的任何内容。” 然而,对于理论上可以访问通过中国路由的电话的中国当局来说,情况并非如此。
公民实验室的主要发现
- Zoom 文件 声称该应用程序在可能的情况下对会议使用“AES-256”加密。 然而,我们发现在每个 Zoom 会议中,所有参与者都使用一个 AES-128 密钥在 ECB 模式下对音频和视频进行加密和解密。 不推荐使用 ECB 模式,因为明文中存在的模式在加密期间会被保留。
- 我们验证的 AES-128 密钥足以解密在互联网流量中截获的 Zoom 数据包,似乎是由 Zoom 服务器生成的,并且在某些情况下,通过中国的服务器传递给 Zoom 会议的参与者,即使所有会议参与者和 Zoom 订阅者的公司不在中国。
- Zoom 是一家总部位于硅谷的公司,它似乎在中国拥有 700 家公司,至少 XNUMX 名员工通过这些公司获得报酬,以开发 Zoom 的软件。 这种安排表面上是为了 劳动套利:Zoom 可以在向美国客户销售产品的同时避免支付美国工资,从而提高他们的利润率。 然而,这种安排可能会让 Zoom 对来自中国当局的压力做出反应。
Zoom 现在已确认该公司错误地转接了电话。 该公司首席执行官 Eric Yuan 发表了以下声明:
在正常操作期间,Zoom客户端会尝试连接到用户区域内或附近的一系列主要数据中心,如果这些多次连接尝试由于网络拥塞或其他问题而失败,则客户端将从列表中的两个辅助数据中心中获取资源。多个辅助数据中心,作为通往Zoom平台的潜在备份桥。 在所有情况下,都会为Zoom客户端提供适合其区域的数据中心列表。 该系统对于Zoom的商标可靠性至关重要,特别是在互联网压力很大的时候。
总之,来自北美的呼叫应该通过美国服务器路由,就像在欧洲发出的呼叫一样。 但是,如果遇到流量高峰,该公司可以通过最近的可用容量最大的服务器路由呼叫。 这不适用于中国,因为西方国家对中国有担忧,因此即使其他服务器不堪重负,公司也不会通过中国路由流量。 在这种情况下,该公司违反了这一规定,并在流量高峰时将美国电话转接到中国。
Citizen Lab 的 Bill Marczak 告诉 TechCrunch 他对 Zoom 的反应“谨慎乐观”。
这里更大的问题是,Zoom 显然已经编写了自己的加密和保护通话方案,”他说,“北京有 Zoom 服务器可以访问会议加密密钥。
如果您是一个资源充足的实体,获取包含一些特别高价值的加密 Zoom 呼叫的互联网流量副本可能并不难。
在 COVID-19 大流行期间,向 Zoom 等平台的巨大转变使得 Zoom 等平台成为许多不同类型情报机构的目标,而不仅仅是中国。 幸运的是,该公司(到目前为止)在应对安全研究人员的新一轮审查方面做得很好,并承诺改进他们的应用程序。
——比尔·马尔扎克
尽管该公司最近宣布该公司将暂停功能更新以专注于解决安全问题,但它仍然面临来自世界各地当局修复安全漏洞的巨大压力。 它还将与第三方专家和代表用户进行全面审查,以了解和确保其服务的安全性。 了解有关此公告的更多信息 相关信息.