A zoom nem támogatja a végpontok közötti titkosítást az online találkozók során
Kedden az Egyesült Királyság miniszterelnöke, Boris Johnson egy tweetet tett közzé, amellyel megmutatta követõinek, hogy kabinetje mûködik az új koronavírus okozta válság idején. A fotó Johnson miniszterelnök és kollégái közötti online találkozót mutatott, amelynek célja egyszerű volt - megbizonyosodni a nemzetről, hogy még ezekben a szörnyű időkben az Egyesült Királyság politikusai továbbra is mindenki javát szolgálják. Néhány ember számára valószínűleg morálfokozóként tette a munkáját. A biztonsági közösség körében azonban sok szemöldökét felvetett.
A képernyőképe azt mutatja, hogy az Egyesült Királyság fő irányító testülete a Zoom segítségével, a videokonferencia-platformon keresztül kommunikál, amely egy hatalmas felhasználási tüskén esett át, köszönhetően a jelenleg otthon dolgozó emberek millióinak. Videokonferencia megoldásként a Zoom meglehetősen szilárd, ám a biztonsági szakemberek úgy gondolták, hogy egy olyan fontos szervezet, mint az Egyesült Királyság kormánya, valószínűleg valami szokásos és igényeihez igazított alkalmazást fog használni. Az információbiztonsági szakemberek második dolgaként észrevették, hogy a Zoom értekezlet azonosítója jól látható volt Boris Johnson tweetjéből, ami valójában nem túl jó ötlet, különösen, ha az ülés során megvitatott kérdések annyira érzékenyek. Aztán az emberek elkezdtek zokogni a Zoom marketing anyagán, és a dolgok még rosszabbá váltak.
A zoom tárgyalásokat jelenleg nem lehet titkosítani végpontokból
Kedden, a The Intercept jelentést tett közzé az egyik lehetőségről, amelyet a Zoom ad a felhasználóknak, és a politikusoknak és a nagy szervezetekért felelős embereknek valószínűleg figyelmesen át kell olvasniuk.
A Zoom értekezlet létrehozásakor a felhasználó engedélyezheti a "harmadik fél végpontjainak titkosítását". Ha így tesz, akkor a résztvevőknek értesítést kapnak arról, hogy a találkozó végpontok között titkosítva van. A Zoom által a weboldalán közzétett biztonsági tanulmány azt is sugallja, hogy ilyen típusú titkosítás lehetséges az ülésekre, de a The Intercept vizsgálata során kiderült, hogy ez egyszerűen nem igaz.
A zoom videofelvételek titkosítva vannak, de a titkosítás nem teljes. Ehelyett a videó és a hang áthalad egy normál TLS vagy a Transport Layer Security kapcsolaton. Ugyanazt a technológiai weboldalt és alkalmazást használják, amikor a HTTPS-en keresztül szolgáltatnak tartalmat. Az Intercept a Zoomhoz fordult, hogy észrevételeket tegyen, és egy szóvivő beismerte, hogy a technológiai korlátok miatt a valódi végponttól való titkosítás csak a platformon átmenõ csevegõk számára lehetséges. De mit jelent ez valójában a szolgáltatást használók számára?
Hogyan befolyásolja a végpontok közötti titkosítás hiánya a felhasználókat?
Az olyan üzenetküldő alkalmazások, mint a WhatsApp és a Telegram, nem kerülnek el a végponttól való titkosítás használatától és annak adatvédelmi előnyeitől. A végpontok közötti titkosított kommunikáció fő előnye, hogy bár az információ áthalad a szolgáltató szerverein, maga a szolgáltatónak nincs eszköze a visszafejtéshez.
A Zoom esetében a TLS-nek köszönhetően az ülések védve vannak mindenkitől, aki az audio- és videoátvitelt tovább szimatolja, miközben a felhasználói eszközök és a Zoom szerverei között utazik. Amikor a kiszolgálón van, a Zoom alkalmazottak elméletileg visszafejteni tudják. Meg fogják csinálni?
A bűnüldöző szervek felkérhetik az online konferenciaplatformot, hogy tegyen közzé bizonyos személyekre vonatkozó adatokat, ám valószínűtlen, hogy ez befolyásolja őket. A végpontok közötti titkosítás hiánya minden bizonnyal olyan politikusok problémája, mint Boris Johnson, de a legtöbb otthoni munkavállaló számára ez nem lehet olyan nagy ügy. Probléma azonban a Zoom kezdeti kísérlete, hogy lecsökkentse a hibát.
Miután megkérdezték, mi okozta ezt a zavart, a Zoom szóvivője elmondta a The Interceptnak, hogy "végpontok közötti titkosítás" alatt azt értik, hogy az adatok titkosítva vannak minden különféle "Zoom végpontban" és "végpontban". a felhasználók eszközeit jelentette. A jól definiált fogalmak ilyen fajta liberális értelmezése nem igazán elfogadható, főleg ha figyelembe vesszük, hogy a platformot, amelyről beszélünk, a világ néhány nagyhatalmának kormányai használják. Végül a Zoom rájött, hogy nem részesíti előnyben magát, és tegnap kiadott egy blogbejegyzést, melyben beismerte, hogy marketing csapatának enyhén engedi magát. A platform fejlesztői elnézést kérték a zavar miatt, és most Boris Johnson és más Zoom felhasználók millióinak kell eldönteniük, hogy elfogadják-e a bocsánatkérést. Miközben itt van, Johnson is gondolkodhat azon kiberbiztonsági óvintézkedésekről, amelyeket kabinetje az online találkozók szervezése során tart.