Zoom承認它錯誤地將一些電話路由到中國
4分鐘讀
發表於
請閱讀我們的揭露頁面,了解如何幫助 MSPoweruser 維持編輯團隊的發展 阅读更多
冠狀病毒大流行使 Zoom 的使用有所增加,但該軟件更像是一種 隱私 惡夢 對於 公司 和世界各地的個人。 今天早些時候,我們 報導 Zoom 錄音是如何進入互聯網的,緊隨其後的是,安全研究人員 公民實驗室 發表了一份報告,聲稱該公司已通過中國轉接了一些電話。
在報告中 公民實驗室 表示該公司通過中國路由了一些呼叫及其各自的加密密鑰。 我們 報導 早些時候公司如何擁有加密密鑰,這就是為什麼該服務並未像公司聲稱的那樣完全進行端到端加密的原因。 在一個 博客文章,該公司表示已“實施了強大且經過驗證的內部控制,以防止未經授權訪問用戶在會議期間共享的任何內容。” 然而,對於理論上可以訪問通過中國路由的呼叫的中國當局來說,情況並非如此。
公民實驗室的主要發現
- Zoom 文檔 聲稱該應用程序在可能的情況下對會議使用“AES-256”加密。 然而,我們發現在每個 Zoom 會議中,所有參與者都使用一個 AES-128 密鑰在 ECB 模式下對音頻和視頻進行加密和解密。 不推薦使用 ECB 模式,因為明文中存在的模式在加密期間會被保留。
- 我們驗證的 AES-128 密鑰足以解密在互聯網流量中截獲的 Zoom 數據包,似乎是由 Zoom 服務器生成的,並且在某些情況下,通過中國的服務器傳遞給 Zoom 會議的參與者,即使所有會議參與者和 Zoom 訂閱者的公司不在中國。
- Zoom 是一家總部位於矽谷的公司,它似乎在中國擁有 700 家公司,至少 XNUMX 名員工通過這些公司獲得報酬,以開發 Zoom 的軟件。 這種安排表面上是為了 勞務套利:Zoom 可以在向美國客戶銷售產品的同時避免支付美國工資,從而提高他們的利潤率。 然而,這種安排可能會讓 Zoom 對來自中國當局的壓力做出反應。
Zoom 現在已確認該公司錯誤地轉接了電話。 該公司首席執行官 Eric Yuan 發表了以下聲明:
在正常操作期間,Zoom客戶端會嘗試連接到用戶區域內或附近的一系列主要數據中心,並且如果這些多次連接嘗試由於網絡擁塞或其他問題而失敗,則客戶端將與列表中的兩個輔助數據中心聯繫。多個輔助數據中心,作為通往Zoom平台的潛在備份橋。 在所有情況下,都會為Zoom客戶端提供適合其區域的數據中心列表。 該系統對於Zoom的商標可靠性至關重要,特別是在互聯網壓力很大的時候。
總而言之,來自北美的呼叫應該通過美國服務器路由,就像在歐洲發出的呼叫一樣。 但是,如果遇到流量高峰,該公司可以通過最近的可用容量最大的服務器路由呼叫。 這不適用於中國,因為西方國家對中國有擔憂,因此即使其他服務器不堪重負,公司也不會通過中國路由流量。 在這種情況下,該公司違反了這一規定,並在流量高峰時將美國電話轉接到中國。
Citizen Lab 的 Bill Marczak 告訴 TechCrunch的 他對 Zoom 的反應“謹慎樂觀”。
這裡更大的問題是,Zoom 顯然已經編寫了他們自己的加密和保護通話方案,”他說,“北京有 Zoom 服務器可以訪問會議加密密鑰。
如果您是一個資源充足的實體,獲取包含一些特別高價值的加密 Zoom 呼叫的互聯網流量副本可能並不難。
在 COVID-19 大流行期間,向 Zoom 等平台的巨大轉變使得 Zoom 等平台成為許多不同類型情報機構的目標,而不僅僅是中國。 幸運的是,該公司(到目前為止)在應對安全研究人員的新一輪審查方面做得很好,並承諾改進他們的應用程序。
——比爾·馬爾扎克
雖然該公司最近宣布該公司將暫停功能更新以專注於解決安全問題,但它仍然面臨來自世界各地當局修復安全漏洞的巨大壓力。 它還將與第三方專家和代表用戶進行全面審查,以了解和確保其服務的安全性。 了解有關此公告的更多信息 請點擊這裡.