Zoomi krüptovõtmeid saadetakse mõnikord Hiinasse, teatab Finds

UUENDAMINE: Zoomi sõnul kasutas ettevõte Põhja-Ameerika kasutajatele krüptovõtmete loomiseks ekslikult oma Hiina servereid.

"Kiirustades selle pretsedenditu pandeemia ajal inimestele kogu maailmas appi tulla, lisasime serverimahu ja juurutasime selle kiiresti - alustades Hiinast, kus haiguspuhang algas," kirjutas Zoomi tegevjuht Eric Yuan ajaveebipostituses.

"Selles protsessis ei õnnestunud meil täielikult rakendada oma tavapäraseid geopiirdamise parimaid tavasid.

Selle tulemusena on võimalik, et teatud kohtumistel lubati ühendada Hiinas olevaid süsteeme, kuhu nad poleks pidanud saama ühendust.

Oleme sellest ajast alates parandanud seda.

"

Hiina serverid on eemaldatud "varusildade" loendist, mis võivad kasutajaid teenindada videokonverentsiteenuse suurema liikluse ajal.

"See olukord ei mõjutanud meie Zoom for Government pilve, mis on eraldi keskkond, mis on saadaval meie valitsuse klientidele ja kõigile teistele, kes soovivad selle keskkonna spetsifikatsioone," lisas Yuan.

Parimate tavade järgimiseks töötab ettevõte ka krüptimismeetodi täiustamise nimel.

"Meil on tohutu vastutus asjad korda saada, eriti sellisel ajal.

Me teame, et teie täieliku usalduse teenimiseks on veel pikk tee minna, kuid oleme pühendunud oma platvormi turvalisuse tugevdamisele," kirjutas ta.

.

Algne lugu:

Zoomi sõnul pakub see teie videokonverentsidel otsast lõpuni krüpteerimist, et aidata luuramist eemal hoida, kuid ärge uskuge seda.

San Jose põhinev ettevõte hoiab valvekoergrupi andmetel mitte ainult krüptovõtmetest kinni, vaid saadab neid mõnel juhul ka Hiinasse.

Citizen Lab testis videokonverentsiteenust, et näha, kus krüptovõtmeid genereeritakse.

"Põhja-Ameerikas toimunud mitme testkõne ajal jälgisime Hiinas Pekingis serveritele edastatud koosolekute krüptimise ja dekrüpteerimise võtmeid," kirjutasid teadlased Bill Marczak ja John Scott-Railton reedeses aruandes.

Tõenäoliselt saadetakse võtmeid Hiinasse, kuna Zoomil on riigis tütarettevõtted.

Ettevõtte enda SEC-i andmete kohaselt töötab Hiinas teadus- ja arendustegevuse eesmärgil 700 töötajat.

Muidugi võivad halvad näitlejad teie Zoom-koosolekuid hõlpsasti nuhkida, kui olete sessiooni avalikuks teinud või jätnud nende paroolid valveta.

Turvalisuse puudumine on põhjustanud suumipommitamise laine, mis ajendas FBI-d avalikkust selle nähtuse eest hoiatama.

Krüptimine võib seevastu kaitsta teie kirju uudishimulike pilkude eest, kui neid hostitakse andmebaasis või saadetakse võrgu kaudu.

Tõelises end-to-end krüpteerimissüsteemis genereeritakse ja salvestatakse võti nutitelefoni või sülearvutisse, mis takistab pakkujal endal (või õiguskaitseasutustel) teie sõnumeid dekrüpteerimata.

Kuid Zoomi puhul haldab ettevõte võtmeid oma serveritest.

"Skaneerimine näitab kokku viit serverit Hiinas ja 68 USA-s, kus ilmselt töötab sama Zoomi serveritarkvara kui Pekingi serveril," ütlesid teadlased aruandes.

Citizen Labi sõnul on Zoomil tõenäoliselt Hiinas ettevõtte kontorid, mis aitavad tal tööjõukulusid vähendada.

Kuid see tähendab ka seda, et need bürood kuuluvad Hiina valitsuse jurisdiktsiooni alla, kellel on õigus survestada kodumaiseid ettevõtteid teavet üle andma.

Siiani pole Zoom aruannet kommenteerinud.

Kuid kolmapäeval käsitles see poleemikat oma lähenemise üle krüptimisele.

Kuigi Zoom hoiab krüptovõtmetest kinni, pole Zoomi tooteohvitseri Oded Gal sõnul ühtegi süsteemi videoseansside hõlpsaks dekrüpteerimiseks.

"Zoom ei ole kunagi loonud mehhanismi, et dekrüpteerida otseülekandeid seadusliku pealtkuulamise eesmärgil, samuti pole meil vahendeid, et kaasata oma töötajaid või teisi koosolekutele ilma, et neid kajastataks osalejate nimekirjas," kirjutas Gal ajaveebipostituses.

Sellegipoolest torkab Citizen Lab ettevõtte krüptimisnõuetes olulisi auke.

Samas aruandes märgitakse, et Zoom kasutab nn EKP-režiimis nõrgemat krüptimisstandardit AES-128.

Citizen Labi sõnul on see halb mõte, sest krüpteeritud videoseanssidel säilivad andmetes endiselt mustrid.

See võimaldab teil vaatamata kehtivale krüptimisele vaadata videopiltide kontuurseid jooni.

Teadlased on Zoomi ooteruumi funktsioonis leidnud ka tõsise haavatavuse, mille abil saab soovimatuid külalisi teie koosolekutele siseneda.

"Me ei paku praegu selle teema kohta avalikku teavet, et vältida selle kuritarvitamist," kirjutasid teadlased.

"Vahepeal soovitame konfidentsiaalsust soovivatel suumi kasutajatel mitte kasutada suumi ooteruume.

Selle asemel soovitame kasutajatel kasutada suumi parooli funktsiooni, mis näib pakkuvat kõrgemat konfidentsiaalsustaset kui ooteruumid."

Aruande peamine väljavõte: suumi sobib kasutada juhuslike vestluste ja veebipõhise õpetamise jaoks.

Kuid kui usaldate tundliku teabe, näiteks ettevõtte või valitsuse ettevõtte rääkimiseks teenusele, peaksite kaaluma turvalisemat videokonverentside tööriista või sõnumside rakendust, näiteks Signal.

Zoom on öelnud, et töötab selle nimel, et kasutajad saaksid krüptovõtmeid kohapeal oma riistvarale salvestada.

Kuid valik saabub alles selle aasta lõpus ja tundub, et see on suunatud ettevõtetele, mitte keskmistele tarbijatele.

Koroonaviiruse tõttu on Zoomi kasutamine tõusnud 200 miljoni igapäevase kasutajani, võrreldes detsembris vaid 10 miljoniga.

UUENDAMINE: Zoomi sõnul kasutas ettevõte Põhja-Ameerika kasutajatele krüptovõtmete loomiseks ekslikult oma Hiina servereid.

"Kiirustades selle pretsedenditu pandeemia ajal inimestele kogu maailmas appi tulla, lisasime serverimahu ja juurutasime selle kiiresti - alustades Hiinast, kus haiguspuhang algas," kirjutas Zoomi tegevjuht Eric Yuan ajaveebipostituses.

"Selles protsessis ei õnnestunud meil täielikult rakendada oma tavapäraseid geopiirdamise parimaid tavasid.

Selle tulemusena on võimalik, et teatud kohtumistel lubati ühendada Hiinas olevaid süsteeme, kuhu nad poleks pidanud saama ühendust.

Oleme sellest ajast alates parandanud seda.

"

Hiina serverid on eemaldatud "varusildade" loendist, mis võivad kasutajaid teenindada videokonverentsiteenuse suurema liikluse ajal.

"See olukord ei mõjutanud meie Zoom for Government pilve, mis on eraldi keskkond, mis on saadaval meie valitsuse klientidele ja kõigile teistele, kes soovivad selle keskkonna spetsifikatsioone," lisas Yuan.

Parimate tavade järgimiseks töötab ettevõte ka krüptimismeetodi täiustamise nimel.

"Meil on tohutu vastutus asjad korda saada, eriti sellisel ajal.

Me teame, et teie täieliku usalduse teenimiseks on veel pikk tee minna, kuid oleme pühendunud oma platvormi turvalisuse tugevdamisele," kirjutas ta.

.

Algne lugu:

Zoomi sõnul pakub see teie videokonverentsidel otsast lõpuni krüpteerimist, et aidata luuramist eemal hoida, kuid ärge uskuge seda.

San Jose põhinev ettevõte hoiab valvekoergrupi andmetel mitte ainult krüptovõtmetest kinni, vaid saadab neid mõnel juhul ka Hiinasse.

Citizen Lab testis videokonverentsiteenust, et näha, kus krüptovõtmeid genereeritakse.

"Põhja-Ameerikas toimunud mitme testkõne ajal jälgisime Hiinas Pekingis serveritele edastatud koosolekute krüptimise ja dekrüpteerimise võtmeid," kirjutasid teadlased Bill Marczak ja John Scott-Railton reedeses aruandes.

Tõenäoliselt saadetakse võtmeid Hiinasse, kuna Zoomil on riigis tütarettevõtted.

Ettevõtte enda SEC-i andmete kohaselt töötab Hiinas teadus- ja arendustegevuse eesmärgil 700 töötajat.

Muidugi võivad halvad näitlejad teie Zoom-koosolekuid hõlpsasti nuhkida, kui olete sessiooni avalikuks teinud või jätnud nende paroolid valveta.

Turvalisuse puudumine on põhjustanud suumipommitamise laine, mis ajendas FBI-d avalikkust selle nähtuse eest hoiatama.

Krüptimine võib seevastu kaitsta teie kirju uudishimulike pilkude eest, kui neid hostitakse andmebaasis või saadetakse võrgu kaudu.

Tõelises end-to-end krüpteerimissüsteemis genereeritakse ja salvestatakse võti nutitelefoni või sülearvutisse, mis takistab pakkujal endal (või õiguskaitseasutustel) teie sõnumeid dekrüpteerimata.

Kuid Zoomi puhul haldab ettevõte võtmeid oma serveritest.

"Skaneerimine näitab kokku viit serverit Hiinas ja 68 USA-s, kus ilmselt töötab sama Zoomi serveritarkvara kui Pekingi serveril," ütlesid teadlased aruandes.

Citizen Labi sõnul on Zoomil tõenäoliselt Hiinas ettevõtte kontorid, mis aitavad tal tööjõukulusid vähendada.

Kuid see tähendab ka seda, et need bürood kuuluvad Hiina valitsuse jurisdiktsiooni alla, kellel on õigus survestada kodumaiseid ettevõtteid teavet üle andma.

Siiani pole Zoom aruannet kommenteerinud.

Kuid kolmapäeval käsitles see poleemikat oma lähenemise üle krüptimisele.

Kuigi Zoom hoiab krüptovõtmetest kinni, pole Zoomi tooteohvitseri Oded Gal sõnul ühtegi süsteemi videoseansside hõlpsaks dekrüpteerimiseks.

"Zoom ei ole kunagi loonud mehhanismi, et dekrüpteerida otseülekandeid seadusliku pealtkuulamise eesmärgil, samuti pole meil vahendeid, et kaasata oma töötajaid või teisi koosolekutele ilma, et neid kajastataks osalejate nimekirjas," kirjutas Gal ajaveebipostituses.

Sellegipoolest torkab Citizen Lab ettevõtte krüptimisnõuetes olulisi auke.

Samas aruandes märgitakse, et Zoom kasutab nn EKP-režiimis nõrgemat krüptimisstandardit AES-128.

Citizen Labi sõnul on see halb mõte, sest krüpteeritud videoseanssidel säilivad andmetes endiselt mustrid.

See võimaldab teil vaatamata kehtivale krüptimisele vaadata videopiltide kontuurseid jooni.

Teadlased on Zoomi ooteruumi funktsioonis leidnud ka tõsise haavatavuse, mille abil saab soovimatuid külalisi teie koosolekutele siseneda.

"Me ei paku praegu selle teema kohta avalikku teavet, et vältida selle kuritarvitamist," kirjutasid teadlased.

"Vahepeal soovitame konfidentsiaalsust soovivatel suumi kasutajatel mitte kasutada suumi ooteruume.

Selle asemel soovitame kasutajatel kasutada suumi parooli funktsiooni, mis näib pakkuvat kõrgemat konfidentsiaalsustaset kui ooteruumid."

Aruande peamine väljavõte: suumi sobib kasutada juhuslike vestluste ja veebipõhise õpetamise jaoks.

Kuid kui usaldate tundliku teabe, näiteks ettevõtte või valitsuse ettevõtte rääkimiseks teenusele, peaksite kaaluma turvalisemat videokonverentside tööriista või sõnumside rakendust, näiteks Signal.

Zoom on öelnud, et töötab selle nimel, et kasutajad saaksid krüptovõtmeid kohapeal oma riistvarale salvestada.

Kuid valik saabub alles selle aasta lõpus ja tundub, et see on suunatud ettevõtetele, mitte keskmistele tarbijatele.

Koroonaviiruse tõttu on Zoomi kasutamine tõusnud 200 miljoni igapäevase kasutajani, võrreldes detsembris vaid 10 miljoniga.