Zoom optužen za obmanjivanje korisnika s tvrdnjama o 'end-to-end enkripciji' usred drugih sigurnosnih problema [Ažurirano]

Zoom je danas suočen s novom kontrolom nakon izvješća da su tvrdnje o enkripciji aplikacije za videokonferencije obmanjujuće.

Zoom stanja na svom web stranica i u svom sigurnosni bijeli papir da aplikacija podržava end-to-end enkripciju, pojam koji se odnosi na način zaštite korisničkog sadržaja tako da mu tvrtka uopće nema pristup.

Međutim, istraga od strane Intercept otkriva da Zoom osigurava videopozive koristeći TLS enkripciju, istu tehnologiju koju web poslužitelji koriste za osiguranje HTTPS web stranica:

To je poznato kao transportno šifriranje, što se razlikuje od end-to-end enkripcije jer sama usluga Zoom može pristupiti nešifriranom video i audio sadržaju Zoom sastanaka. Dakle, kada imate Zoom sastanak, video i audio sadržaj ostat će privatni od svih koji špijuniraju vaš Wi-Fi, ali neće ostati privatni od tvrtke.

Kako izvješće jasno navodi, da bi Zoom sastanak bio šifriran od kraja do kraja, poziv bi trebao biti šifriran na takav način koji osigurava da samo sudionici sastanka imaju mogućnost dešifriranja pomoću lokalne enkripcije tipke. Ali ta razina sigurnosti nije ono što usluga nudi.

Na pitanje od Intercept kako bi komentirao nalaz, glasnogovornik Zooma porekao je da je tvrtka obmanjivala korisnike:

'Kada koristimo izraz 'End to End' u našoj drugoj literaturi, to se odnosi na vezu koja je šifrirana od Zoom krajnje točke do Zoom krajnje točke... Sadržaj se ne dešifrira dok se prenosi preko Zoom oblaka.'

Tehnički gledano, čini se da je Zoomov tekstualni chat na sastanku jedina značajka Zooma koja je zapravo end-to-end šifrirana. No, u teoriji, služba bi mogla špijunirati privatne videosastanke i biti primorana predati snimke sastanaka vladama ili organima za provođenje zakona kao odgovor na pravne zahtjeve.

Zoom rekao Intercept da prikuplja samo korisničke podatke koji su mu potrebni za poboljšanje svoje usluge – to uključuje IP adrese, pojedinosti o OS-u i pojedinosti o uređaju – ali ne dopušta zaposlenicima pristup sadržaju sastanaka.

zašto samo 1 moj airpods radi

Prošli tjedan Zoomove prakse dijeljenja podataka bile su kritizirane nakon što se pokazalo da usluga šalje podatke Facebooku bez otkrivanja činjenice korisnicima. Tvrtka je naknadno ažurirala aplikaciju kako bi uklonila svoju značajku prijave na Facebook i spriječila pristup podacima.

Ažuriranje: Kako je primijetio TechCrunch , sigurnosni istraživač Patrick Wardle otkrio je dvije ranije neotkrivene ranjivosti nultog dana koje utječu na Zoom.