在“公民實驗室”的安全研究人員報告稱一些Zoom呼叫已通過中國路由的幾個小時後,該視頻會議平台道歉並提供了部分解釋。
回顧一下,縮放由於其冠狀病毒大流行期間成千上萬的人被迫在家工作,本週在安全政策和隱私慣例方面,頭條新聞已成定局。
當公民實驗室的研究人員說,在北美進行的某些呼叫通過中國進行路由時,最新的發現就出現了。用於保護這些呼叫的加密密鑰也是如此。但是正如本週所指出的那樣,儘管該公司早先宣稱,Zoom 根本不是端到端加密的,這意味著Zoom控制著加密密鑰,因此可以訪問其客戶呼叫的內容。Zoom在較早的博客文章中說,它“實施了強大且經過驗證的內部控制,以防止未經授權而訪問用戶在會議期間共享的任何內容。” 但是,對於中國當局而言,情況卻並非如此,這可能要求Zoom移交其在中國服務器上的所有加密密鑰,以便於解密加密呼叫的內容。
Zoom現在表示,在努力提高服務器容量以適應過去幾週的大量用戶湧入的過程中,它“錯誤地”允許其兩個中國數據中心在網絡擁塞時接受呼叫作為備份。
來自Zoom的首席執行官Eric Yuan:
在正常操作期間,Zoom客戶端會嘗試連接到用戶區域內或附近的一系列主要數據中心,如果這些多次連接嘗試由於網絡擁塞或其他問題而失敗,則客戶端將從列表中的兩個輔助數據中心中獲取資源。多個輔助數據中心,作為通往Zoom平台的潛在備份橋。在所有情況下,都會為Zoom客戶端提供適合其區域的數據中心列表。該系統對於Zoom的商標可靠性至關重要,特別是在互聯網壓力很大的時候。”
換句話說,應該將北美電話留在北美,就像將歐洲電話留在歐洲一樣。這就是Zoom稱之為數據中心的“地理範圍”。但是,當流量激增時,網絡會將流量轉移到容量最大的最近數據中心。
然而,中國應該是一個例外,主要是由於西方公司對隱私的關注。但是中國自己的法律法規規定,在大陸運營的公司必須將公民的數據保留在其境內。
Zoom在2月份表示,其在中國地區的“快速增加容量”可以滿足需求,同時也列入了備份數據中心的國際白名單,這意味著在某些情況下,非中國用戶在其他地區的數據中心處於連接狀態時會連接到中國服務器。不可用。
Zoom說這是在“極其有限的情況下”發生的。當到達時,Zoom發言人沒有量化受影響的用戶數量。
Zoom表示現在已經扭轉了錯誤的白名單。該公司還表示,公司專用政府計劃的用戶不受意外重新路由的影響。
但是仍然存在一些問題。該博客文章僅簡要介紹了其加密設計。市民實驗室(Citizen Lab)批評該公司“推出自己的”加密技術,也就是建立自己的加密方案。長期以來,專家們一直拒絕公司建立自己的加密技術的努力,因為它沒有像我們今天使用的數十年的加密標準那樣經過嚴格的審查和同行審查。
Zoom在辯護中表示,它可以“改進”其加密方案,該方案涵蓋“範圍廣泛的用例”。Zoom還表示正在與外部專家進行磋商,但是當被問及發言人時,他拒絕透露任何名字。
撰寫今天報告的《公民實驗室》研究人員之一比爾·馬克扎克(Bill Marczak)告訴TechCrunch,他對Zoom的回應“謹慎樂觀”。
他說:“更大的問題是,Zoom顯然編寫了自己的加密和保護呼叫的方案,而且北京有一些Zoom服務器可以訪問會議加密密鑰。”
“如果您是資源豐富的實體,那麼獲取包含某些特別有價值的加密Zoom通話的互聯網流量副本可能並不難,” Marcak說。
他說:“在COVID-19大流行期間,向Zoom之類的平台的巨大轉移使Zoom之類的平台成為了許多不同類型的情報機構的目標,而不僅僅是中國,”他說。“幸運的是,到目前為止,該公司已經採取了所有正確的措施,以應對安全研究人員的新一輪審查浪潮,並致力於改進其應用程序。”
Zoom的博客文章獲得了透明點。但是該公司仍然面臨來自紐約總檢察長和兩項集體訴訟的壓力。就在今天,幾位議員要求知道它正在採取什麼措施保護用戶的隱私。
圖文參考 : TechCrunch