Zoom obtožen zavajanja uporabnikov s trditvami o 'šifriranju od konca do konca' med drugimi varnostnimi težavami [posodobljeno]

Zoom je danes pred novim pregledom po poročilu, da so trditve o šifriranju aplikacije za videokonference zavajajoče.

Povečava stanja na svojem Spletna stran in v svojem varnostni beli papir da aplikacija podpira šifriranje od konca do konca, izraz, ki se nanaša na način zaščite uporabniške vsebine, tako da podjetje nima dostopa do nje.

Vendar pa preiskava s Prestrezanje razkriva, da Zoom ščiti video klice s šifriranjem TLS, enako tehnologijo, ki jo spletni strežniki uporabljajo za zaščito spletnih mest HTTPS:

To je znano kot transportno šifriranje, ki se razlikuje od šifriranja od konca do konca, saj lahko storitev Zoom sama dostopa do nešifrirane video in zvočne vsebine srečanj Zoom. Ko imate sestanek v Zoomu, bo video in zvočna vsebina ostala zasebna od vseh, ki vohunijo v vašem Wi-Fi-ju, vendar ne bodo ostali zasebni za podjetje.

Kot je razvidno iz poročila, da bi bilo srečanje Zoom šifrirano od konca do konca, bi moral biti klic šifriran na način, ki zagotavlja, da imajo samo udeleženci sestanka možnost, da ga dešifrirajo z uporabo lokalnega šifriranja. ključi. Toda ta raven varnosti ni tisto, kar ponuja storitev.

Na vprašanje s Prestrezanje da bi komentiral ugotovitev, je tiskovni predstavnik Zooma zanikal, da je podjetje zavajalo uporabnike:

'Ko v naši drugi literaturi uporabljamo besedno zvezo 'End to End', se nanaša na šifrirano povezavo od končne točke Zoom do končne točke Zoom... Vsebina se ne dešifrira, ko se prenaša po oblaku Zoom.'

Tehnično se zdi, da je Zoomov besedilni klepet na sestanku edina funkcija Zooma, ki je dejansko šifrirana od konca do konca. Toda teoretično bi služba lahko vohunila za zasebnimi videosestanki in bi bila prisiljena predati posnetke sestankov vladam ali organom pregona kot odgovor na pravne zahteve.

Povedal je Zoom Prestrezanje da zbira le podatke o uporabnikih, ki jih potrebuje za izboljšanje svoje storitve – to vključuje naslove IP, podrobnosti operacijskega sistema in podrobnosti o napravi –, vendar zaposlenim ne omogoča dostopa do vsebine sestankov.

kako znova zagnati iphone xs max

Prejšnji teden so bile Zoomove prakse izmenjave podatkov kritizirane, potem ko se je izkazalo, da storitev pošilja podatke Facebooku, ne da bi strankam razkrila dejstvo. Podjetje je pozneje posodobilo aplikacijo, da je odstranilo svojo funkcijo za prijavo v Facebook in preprečilo dostop do podatkov.

Nadgradnja: Kot je opazil TechCrunch , varnostni raziskovalec Patrick Wardle je razkril dve prej nerazkriti ranljivosti ničelnega dne, ki vplivata na Zoom.