Zooms krypteringsnycklar skickas ibland till Kina, rapporterar fynd

UPPDATERING: Enligt Zoom använde företaget felaktigt sina kinesiska servrar för att generera krypteringsnycklar för nordamerikanska användare.

"I vår brådska att hjälpa människor runt om i världen under denna oöverträffade pandemi, lade vi till serverkapacitet och distribuerade den snabbt - med början i Kina, där utbrottet började", skrev VD Eric Yuan i ett blogginlägg.

"I den processen misslyckades vi med att fullt ut genomföra våra vanliga bästa metoder för geo-stängsel.

Som ett resultat är det möjligt att vissa möten fick ansluta till system i Kina, där de inte skulle ha kunnat ansluta.

Vi har sedan korrigerat detta."

De kinesiska servrarna har tagits bort från en lista med "backup-broar", som kan tjäna användare under tider med hög trafik över videokonferenstjänsten.

"Denna situation hade ingen inverkan på vårt Zoom for Government-moln, vilket är en separat miljö tillgänglig för våra statliga kunder och andra som begär specifikationerna för den miljön," tillade Yuan.

Företaget arbetar också med att förbättra sin krypteringsmetod för att följa bästa praxis.

"Vi har ett oerhört ansvar för att få rätt på saker, särskilt i en tid som denna.

Vi vet att vi har en lång väg att gå för att förtjäna ditt fulla förtroende, men vi är fast beslutna att kasta oss för att stärka vår plattforms säkerhet", skrev han .

Originalhistoria:

Zoom säger att det erbjuder end-to-end-kryptering på dina videokonferenser för att avvärja spionering, men tror inte på det.

Det San Jose-baserade företaget håller inte bara på krypteringsnycklarna, utan skickar dem till Kina i vissa fall, enligt en vakthundgrupp.

Citizen Lab testade videokonferenstjänsten för att se var krypteringsnycklarna genererades.

"Under flera testsamtal i Nordamerika observerade vi nycklar för kryptering och dekryptering av möten som överförs till servrar i Peking, Kina", skrev forskarna Bill Marczak och John Scott-Railton i en fredagsrapport.

Nycklarna skickas sannolikt till Kina eftersom Zoom har dotterbolag i landet.

Företagets egna SEC-arkivering visar att företaget sysselsätter 700 anställda i Kina för forsknings- och utvecklingsändamål.

Naturligtvis kan dåliga skådespelare enkelt spionera på dina Zoom-möten om du har gjort sessionen offentlig eller misslyckats med att skydda sina lösenord.

Bristen på säkerhet har resulterat i en våg av Zoom-bombningsincidenter, vilket fick FBI att varna allmänheten om fenomenet.

Kryptering kan å andra sidan skydda dina meddelanden från nyfikna ögon när de blir värd i en databas eller skickas via ett nätverk.

I ett äkta end-to-end-krypteringssystem genereras och lagras nyckeln på din smartphone eller bärbara dator, vilket förhindrar att leverantören själv (eller brottsbekämpning) dekrypterar dina meddelanden.

Men i Zooms fall hanterar företaget nycklarna från sina egna servrar.

"En genomsökning visar totalt fem servrar i Kina och 68 i USA som uppenbarligen kör samma Zoom-serverprogramvara som Peking-servern", säger forskarna i rapporten.

Enligt Citizen Lab har Zoom sannolikt företagskontor i Kina för att hjälpa till att sänka arbetskraftskostnaderna.

Men det betyder också att dessa kontor faller under den kinesiska regeringens jurisdiktion, som har befogenhet att pressa inhemska företag att överlämna information.

Hittills har Zoom inte kommenterat rapporten.

Men på onsdagen tog det upp kontroversen om sin strategi för kryptering.

Medan Zoom håller fast vid krypteringsnycklar, har det inget system på plats för att enkelt dekryptera videosessionerna, enligt Oded Gal, Zooms produktchef.

"Zoom har aldrig byggt en mekanism för att dekryptera levande möten för lagliga avlyssningsändamål, och vi har inte heller medel för att infoga våra anställda eller andra i möten utan att återspeglas i deltagarlistan", skrev Gal i ett blogginlägg.

Fortfarande pekar Citizen Lab några betydande hål i företagets krypteringsanspråk.

Samma rapport noterar Zoom använder en svagare krypteringsstandard, AES-128, i vad som kallas ECB-läge.

Detta är en dålig idé, enligt Citizen Lab, eftersom krypterade videosessioner fortfarande kommer att behålla mönster i data.

Detta kan tillåta dig att se grova konturer till videobilder, trots krypteringen på plats.

Forskarna har också funnit en allvarlig sårbarhet i Zooms väntrumsfunktion, som kan användas för att förhindra att oönskade gäster kommer in i dina möten.

"Vi tillhandahåller för närvarande inte allmän information om frågan för att förhindra att den missbrukas", skrev forskarna.

"Under tiden rekommenderar vi Zoom-användare som önskar konfidentialitet att inte använda Zoom Waiting Rooms.

I stället uppmuntrar vi användare att använda Zooms lösenordsfunktion, som tycks erbjuda en högre konfidentialitet än väntrum."

Rapportens huvudsakliga borttagning: Zoom är bra att använda för avslappnade konversationer och onlineundervisning.

Men om du förlitar dig på tjänsten för att prata om känslig information, till exempel företag eller myndigheter, bör du överväga ett säkrare videokonferensverktyg eller en meddelandeapp som Signal.

Zoom har sagt att de arbetar med att låta användare lagra krypteringsnycklarna lokalt på sin egen hårdvara.

Men alternativet kommer inte förrän senare i år och verkar vara inriktat på företag, inte genomsnittliga konsumenter.

På grund av coronavirus har användningen av Zoom skjutit i höjden till 200 miljoner dagliga användare, upp från bara 10 miljoner tillbaka i december.

UPPDATERING: Enligt Zoom använde företaget felaktigt sina kinesiska servrar för att generera krypteringsnycklar för nordamerikanska användare.

"I vår brådska att hjälpa människor runt om i världen under denna oöverträffade pandemi, lade vi till serverkapacitet och distribuerade den snabbt - med början i Kina, där utbrottet började", skrev VD Eric Yuan i ett blogginlägg.

"I den processen misslyckades vi med att fullt ut genomföra våra vanliga bästa metoder för geo-stängsel.

Som ett resultat är det möjligt att vissa möten fick ansluta till system i Kina, där de inte skulle ha kunnat ansluta.

Vi har sedan korrigerat detta."

De kinesiska servrarna har tagits bort från en lista med "backup-broar", som kan tjäna användare under tider med hög trafik över videokonferenstjänsten.

"Denna situation hade ingen inverkan på vårt Zoom for Government-moln, vilket är en separat miljö tillgänglig för våra statliga kunder och andra som begär specifikationerna för den miljön," tillade Yuan.

Företaget arbetar också med att förbättra sin krypteringsmetod för att följa bästa praxis.

"Vi har ett oerhört ansvar för att få rätt på saker, särskilt i en tid som denna.

Vi vet att vi har en lång väg att gå för att förtjäna ditt fulla förtroende, men vi är fast beslutna att kasta oss för att stärka vår plattforms säkerhet", skrev han .

Originalhistoria:

Zoom säger att det erbjuder end-to-end-kryptering på dina videokonferenser för att avvärja spionering, men tror inte på det.

Det San Jose-baserade företaget håller inte bara på krypteringsnycklarna, utan skickar dem till Kina i vissa fall, enligt en vakthundgrupp.

Citizen Lab testade videokonferenstjänsten för att se var krypteringsnycklarna genererades.

"Under flera testsamtal i Nordamerika observerade vi nycklar för kryptering och dekryptering av möten som överförs till servrar i Peking, Kina", skrev forskarna Bill Marczak och John Scott-Railton i en fredagsrapport.

Nycklarna skickas sannolikt till Kina eftersom Zoom har dotterbolag i landet.

Företagets egna SEC-arkivering visar att företaget sysselsätter 700 anställda i Kina för forsknings- och utvecklingsändamål.

Naturligtvis kan dåliga skådespelare enkelt spionera på dina Zoom-möten om du har gjort sessionen offentlig eller misslyckats med att skydda sina lösenord.

Bristen på säkerhet har resulterat i en våg av Zoom-bombningsincidenter, vilket fick FBI att varna allmänheten om fenomenet.

Kryptering kan å andra sidan skydda dina meddelanden från nyfikna ögon när de blir värd i en databas eller skickas via ett nätverk.

I ett äkta end-to-end-krypteringssystem genereras och lagras nyckeln på din smartphone eller bärbara dator, vilket förhindrar att leverantören själv (eller brottsbekämpning) dekrypterar dina meddelanden.

Men i Zooms fall hanterar företaget nycklarna från sina egna servrar.

"En genomsökning visar totalt fem servrar i Kina och 68 i USA som uppenbarligen kör samma Zoom-serverprogramvara som Peking-servern", säger forskarna i rapporten.

Enligt Citizen Lab har Zoom sannolikt företagskontor i Kina för att hjälpa till att sänka arbetskraftskostnaderna.

Men det betyder också att dessa kontor faller under den kinesiska regeringens jurisdiktion, som har befogenhet att pressa inhemska företag att överlämna information.

Hittills har Zoom inte kommenterat rapporten.

Men på onsdagen tog det upp kontroversen om sin strategi för kryptering.

Medan Zoom håller fast vid krypteringsnycklar, har det inget system på plats för att enkelt dekryptera videosessionerna, enligt Oded Gal, Zooms produktchef.

"Zoom har aldrig byggt en mekanism för att dekryptera levande möten för lagliga avlyssningsändamål, och vi har inte heller medel för att infoga våra anställda eller andra i möten utan att återspeglas i deltagarlistan", skrev Gal i ett blogginlägg.

Fortfarande pekar Citizen Lab några betydande hål i företagets krypteringsanspråk.

Samma rapport noterar Zoom använder en svagare krypteringsstandard, AES-128, i vad som kallas ECB-läge.

Detta är en dålig idé, enligt Citizen Lab, eftersom krypterade videosessioner fortfarande kommer att behålla mönster i data.

Detta kan tillåta dig att se grova konturer till videobilder, trots krypteringen på plats.

Forskarna har också funnit en allvarlig sårbarhet i Zooms väntrumsfunktion, som kan användas för att förhindra att oönskade gäster kommer in i dina möten.

"Vi tillhandahåller för närvarande inte allmän information om frågan för att förhindra att den missbrukas", skrev forskarna.

"Under tiden rekommenderar vi Zoom-användare som önskar konfidentialitet att inte använda Zoom Waiting Rooms.

I stället uppmuntrar vi användare att använda Zooms lösenordsfunktion, som tycks erbjuda en högre konfidentialitet än väntrum."

Rapportens huvudsakliga borttagning: Zoom är bra att använda för avslappnade konversationer och onlineundervisning.

Men om du förlitar dig på tjänsten för att prata om känslig information, till exempel företag eller myndigheter, bör du överväga ett säkrare videokonferensverktyg eller en meddelandeapp som Signal.

Zoom har sagt att de arbetar med att låta användare lagra krypteringsnycklarna lokalt på sin egen hårdvara.

Men alternativet kommer inte förrän senare i år och verkar vara inriktat på företag, inte genomsnittliga konsumenter.

På grund av coronavirus har användningen av Zoom skjutit i höjden till 200 miljoner dagliga användare, upp från bara 10 miljoner tillbaka i december.