De coderingssleutels van Zoom worden soms naar China gestuurd, vindt rapport

BIJWERKEN: Volgens Zoom gebruikte het bedrijf ten onrechte zijn Chinese servers om coderingssleutels voor Noord-Amerikaanse gebruikers te genereren.

"In onze urgentie om mensen over de hele wereld te hulp te komen tijdens deze ongekende pandemie, hebben we servercapaciteit toegevoegd en deze snel geïmplementeerd - te beginnen in China, waar de uitbraak begon", schreef Eric Yuan, CEO van Zoom, in een blogpost.

"In dat proces hebben we onze gebruikelijke best practices op het gebied van geofencing niet volledig geïmplementeerd.

Als gevolg hiervan is het mogelijk dat bepaalde vergaderingen verbinding mochten maken met systemen in China, waar ze geen verbinding hadden mogen maken.

Sindsdien hebben we gecorrigeerd.

dit."

De Chinese servers zijn verwijderd uit een lijst met "back-upbruggen", die gebruikers kunnen bedienen in tijden van druk verkeer via de videoconferentieservice.

"Deze situatie had geen invloed op onze Zoom for Government-cloud, een aparte omgeving die beschikbaar is voor onze overheidsklanten en alle anderen die om de specificaties van die omgeving vragen," voegde Yuan eraan toe.

Het bedrijf werkt ook aan het verbeteren van zijn versleutelingsaanpak om de best practices te volgen.

"We hebben een enorme verantwoordelijkheid om dingen goed te doen, vooral in een tijd als deze.

We weten dat we nog een lange weg te gaan hebben om uw volledige vertrouwen terug te winnen, maar we zijn vastbesloten om ons in te zetten voor het versterken van de beveiliging van ons platform", schreef hij.

.

Origineel verhaal:

Zoom zegt dat het end-to-end-codering biedt op uw videoconferenties om spionage te voorkomen, maar geloof het niet.

Het in San Jose gevestigde bedrijf bewaart niet alleen de coderingssleutels, maar stuurt ze in sommige gevallen ook naar China, aldus een watchdog-groep.

Citizen Lab heeft de videoconferentieservice getest om te zien waar de coderingssleutels werden gegenereerd.

"Tijdens meerdere testoproepen in Noord-Amerika hebben we sleutels waargenomen voor het versleutelen en ontsleutelen van vergaderingen die werden verzonden naar servers in Beijing, China", schreven de onderzoekers Bill Marczak en John Scott-Railton in een rapport van vrijdag.

De sleutels worden waarschijnlijk naar China gestuurd omdat Zoom dochterondernemingen in het land heeft.

Uit de eigen SEC-indiening van het bedrijf blijkt dat het bedrijf 700 personeelsleden in China in dienst heeft voor onderzoeks- en ontwikkelingsdoeleinden.

Slechte acteurs kunnen natuurlijk gemakkelijk uw Zoom-vergaderingen bespioneren als u de sessie openbaar hebt gemaakt of als u hun wachtwoorden niet bewaakt.

Het gebrek aan beveiliging heeft geleid tot een golf van incidenten met Zoom-bombardementen, wat de FBI ertoe heeft aangezet het publiek voor het fenomeen te waarschuwen.

Versleuteling daarentegen kan uw berichten beschermen tegen nieuwsgierige blikken terwijl ze worden gehost in een database of via een netwerk worden verzonden.

In een echt end-to-end-coderingssysteem wordt de sleutel gegenereerd en opgeslagen op uw smartphone of laptop, waardoor wordt voorkomen dat de provider zelf (of wetshandhavers) uw berichten decodeert.

In het geval van Zoom beheert het bedrijf de sleutels echter vanaf zijn eigen servers.

"Een scan toont in totaal vijf servers in China en 68 in de Verenigde Staten die blijkbaar dezelfde Zoom-serversoftware draaien als de Beijing-server", aldus de onderzoekers in het rapport.

Volgens Citizen Lab heeft Zoom waarschijnlijk bedrijfskantoren in China om de arbeidskosten te verlagen.

Maar het betekent ook dat die kantoren onder de jurisdictie van de Chinese regering vallen, die de macht heeft om binnenlandse bedrijven onder druk te zetten om informatie te verstrekken.

Tot nu toe heeft Zoom nog geen commentaar gegeven op het rapport.

Maar woensdag ging het in op de controverse over zijn benadering van encryptie.

Hoewel Zoom vasthoudt aan coderingssleutels, heeft het geen systeem om de videosessies gemakkelijk te decoderen, volgens Oded Gal, de chief product officer van Zoom.

"Zoom heeft nooit een mechanisme gebouwd om live vergaderingen te ontsleutelen voor legale onderscheppingsdoeleinden, en we hebben ook geen middelen om onze werknemers of anderen in vergaderingen in te voegen zonder te worden weerspiegeld in de deelnemerslijst", schreef Gal in een blogpost.

Toch prikt Citizen Lab enkele belangrijke gaten in de encryptieclaims van het bedrijf.

Hetzelfde rapport merkt op dat Zoom een ??zwakkere coderingsstandaard gebruikt, AES-128, in de zogenaamde ECB-modus.

Volgens Citizen Lab is dit een slecht idee, omdat versleutelde videosessies nog steeds patronen in de data behouden.

Hierdoor kunt u ondanks de aanwezige codering grove lijnen van videobeelden bekijken.

De onderzoekers hebben ook een ernstige kwetsbaarheid gevonden in de wachtkamerfunctie van Zoom, die kan worden gebruikt om te voorkomen dat ongewenste gasten uw vergaderingen binnenkomen.

"We verstrekken momenteel geen openbare informatie over het probleem om te voorkomen dat het wordt misbruikt", schreven de onderzoekers.

"In de tussentijd raden we Zoom-gebruikers die vertrouwelijkheid wensen aan om geen Zoom Waiting Rooms te gebruiken.

In plaats daarvan moedigen we gebruikers aan om de wachtwoordfunctie van Zoom te gebruiken, die een hoger niveau van vertrouwelijkheid lijkt te bieden dan wachtkamers."

De belangrijkste afhaalmaaltijd van het rapport: Zoom is prima te gebruiken voor informele gesprekken en online lesgeven.

Maar als u op de service vertrouwt om over gevoelige informatie te praten, zoals bedrijf of overheid, moet u een veiliger hulpmiddel voor videoconferenties of een berichten-app zoals Signal overwegen.

Zoom heeft gezegd dat het eraan werkt om gebruikers de coderingssleutels lokaal op hun eigen hardware te laten opslaan.

Maar de optie komt pas later dit jaar aan en lijkt gericht te zijn op ondernemingen, niet op de gemiddelde consument.

Als gevolg van het coronavirus is het gebruik van Zoom omhooggeschoten naar 200 miljoen dagelijkse gebruikers, tegen slechts 10 miljoen in december.

BIJWERKEN: Volgens Zoom gebruikte het bedrijf ten onrechte zijn Chinese servers om coderingssleutels voor Noord-Amerikaanse gebruikers te genereren.

"In onze urgentie om mensen over de hele wereld te hulp te komen tijdens deze ongekende pandemie, hebben we servercapaciteit toegevoegd en deze snel geïmplementeerd - te beginnen in China, waar de uitbraak begon", schreef Eric Yuan, CEO van Zoom, in een blogpost.

"In dat proces hebben we onze gebruikelijke best practices op het gebied van geofencing niet volledig geïmplementeerd.

Als gevolg hiervan is het mogelijk dat bepaalde vergaderingen verbinding mochten maken met systemen in China, waar ze geen verbinding hadden mogen maken.

Sindsdien hebben we gecorrigeerd.

dit."

De Chinese servers zijn verwijderd uit een lijst met "back-upbruggen", die gebruikers kunnen bedienen in tijden van druk verkeer via de videoconferentieservice.

"Deze situatie had geen invloed op onze Zoom for Government-cloud, een aparte omgeving die beschikbaar is voor onze overheidsklanten en alle anderen die om de specificaties van die omgeving vragen," voegde Yuan eraan toe.

Het bedrijf werkt ook aan het verbeteren van zijn versleutelingsaanpak om de best practices te volgen.

"We hebben een enorme verantwoordelijkheid om dingen goed te doen, vooral in een tijd als deze.

We weten dat we nog een lange weg te gaan hebben om uw volledige vertrouwen terug te winnen, maar we zijn vastbesloten om ons in te zetten voor het versterken van de beveiliging van ons platform", schreef hij.

.

Origineel verhaal:

Zoom zegt dat het end-to-end-codering biedt op uw videoconferenties om spionage te voorkomen, maar geloof het niet.

Het in San Jose gevestigde bedrijf bewaart niet alleen de coderingssleutels, maar stuurt ze in sommige gevallen ook naar China, aldus een watchdog-groep.

Citizen Lab heeft de videoconferentieservice getest om te zien waar de coderingssleutels werden gegenereerd.

"Tijdens meerdere testoproepen in Noord-Amerika hebben we sleutels waargenomen voor het versleutelen en ontsleutelen van vergaderingen die werden verzonden naar servers in Beijing, China", schreven de onderzoekers Bill Marczak en John Scott-Railton in een rapport van vrijdag.

De sleutels worden waarschijnlijk naar China gestuurd omdat Zoom dochterondernemingen in het land heeft.

Uit de eigen SEC-indiening van het bedrijf blijkt dat het bedrijf 700 personeelsleden in China in dienst heeft voor onderzoeks- en ontwikkelingsdoeleinden.

Slechte acteurs kunnen natuurlijk gemakkelijk uw Zoom-vergaderingen bespioneren als u de sessie openbaar hebt gemaakt of als u hun wachtwoorden niet bewaakt.

Het gebrek aan beveiliging heeft geleid tot een golf van incidenten met Zoom-bombardementen, wat de FBI ertoe heeft aangezet het publiek voor het fenomeen te waarschuwen.

Versleuteling daarentegen kan uw berichten beschermen tegen nieuwsgierige blikken terwijl ze worden gehost in een database of via een netwerk worden verzonden.

In een echt end-to-end-coderingssysteem wordt de sleutel gegenereerd en opgeslagen op uw smartphone of laptop, waardoor wordt voorkomen dat de provider zelf (of wetshandhavers) uw berichten decodeert.

In het geval van Zoom beheert het bedrijf de sleutels echter vanaf zijn eigen servers.

"Een scan toont in totaal vijf servers in China en 68 in de Verenigde Staten die blijkbaar dezelfde Zoom-serversoftware draaien als de Beijing-server", aldus de onderzoekers in het rapport.

Volgens Citizen Lab heeft Zoom waarschijnlijk bedrijfskantoren in China om de arbeidskosten te verlagen.

Maar het betekent ook dat die kantoren onder de jurisdictie van de Chinese regering vallen, die de macht heeft om binnenlandse bedrijven onder druk te zetten om informatie te verstrekken.

Tot nu toe heeft Zoom nog geen commentaar gegeven op het rapport.

Maar woensdag ging het in op de controverse over zijn benadering van encryptie.

Hoewel Zoom vasthoudt aan coderingssleutels, heeft het geen systeem om de videosessies gemakkelijk te decoderen, volgens Oded Gal, de chief product officer van Zoom.

"Zoom heeft nooit een mechanisme gebouwd om live vergaderingen te ontsleutelen voor legale onderscheppingsdoeleinden, en we hebben ook geen middelen om onze werknemers of anderen in vergaderingen in te voegen zonder te worden weerspiegeld in de deelnemerslijst", schreef Gal in een blogpost.

Toch prikt Citizen Lab enkele belangrijke gaten in de encryptieclaims van het bedrijf.

Hetzelfde rapport merkt op dat Zoom een ??zwakkere coderingsstandaard gebruikt, AES-128, in de zogenaamde ECB-modus.

Volgens Citizen Lab is dit een slecht idee, omdat versleutelde videosessies nog steeds patronen in de data behouden.

Hierdoor kunt u ondanks de aanwezige codering grove lijnen van videobeelden bekijken.

De onderzoekers hebben ook een ernstige kwetsbaarheid gevonden in de wachtkamerfunctie van Zoom, die kan worden gebruikt om te voorkomen dat ongewenste gasten uw vergaderingen binnenkomen.

"We verstrekken momenteel geen openbare informatie over het probleem om te voorkomen dat het wordt misbruikt", schreven de onderzoekers.

"In de tussentijd raden we Zoom-gebruikers die vertrouwelijkheid wensen aan om geen Zoom Waiting Rooms te gebruiken.

In plaats daarvan moedigen we gebruikers aan om de wachtwoordfunctie van Zoom te gebruiken, die een hoger niveau van vertrouwelijkheid lijkt te bieden dan wachtkamers."

De belangrijkste afhaalmaaltijd van het rapport: Zoom is prima te gebruiken voor informele gesprekken en online lesgeven.

Maar als u op de service vertrouwt om over gevoelige informatie te praten, zoals bedrijf of overheid, moet u een veiliger hulpmiddel voor videoconferenties of een berichten-app zoals Signal overwegen.

Zoom heeft gezegd dat het eraan werkt om gebruikers de coderingssleutels lokaal op hun eigen hardware te laten opslaan.

Maar de optie komt pas later dit jaar aan en lijkt gericht te zijn op ondernemingen, niet op de gemiddelde consument.

Als gevolg van het coronavirus is het gebruik van Zoom omhooggeschoten naar 200 miljoen dagelijkse gebruikers, tegen slechts 10 miljoen in december.