Zoom nie obsługuje szyfrowania typu end-to-end podczas spotkań online

We wtorek premier Wielkiej Brytanii, Boris Johnson, opublikował tweet, z którym pokazał swoim wyznawcom, jak działa jego gabinet podczas kryzysu spowodowanego przez nowatorski koronawirus. Zdjęcie pokazało spotkanie online premiera Johnsona z jego kolegami, a jego cel był prosty - zapewnić naród, że nawet w tych okropnych czasach politycy Wielkiej Brytanii nadal pracują dla większego dobra wszystkich. Dla niektórych osób prawdopodobnie wywiązał się ze swojej roli jako środek wzmacniający morale. Jednak wśród społeczności bezpieczeństwa podniosła sporo brwi.

Zrzut ekranu pokazuje, że główny organ zarządzający w Wielkiej Brytanii komunikuje się za pośrednictwem Zoom, platformy do wideokonferencji, która przeszła ogromny skok użycia dzięki milionom ludzi, którzy obecnie pracują z domu. Jako rozwiązanie do wideokonferencji Zoom jest dość solidny, ale specjaliści od bezpieczeństwa sądzili, że organizacja tak ważna jak rząd Wielkiej Brytanii prawdopodobnie użyłaby czegoś niestandardowego i dostosowanego do jej potrzeb. Drugą rzeczą, którą zauważyli specjaliści ds. Bezpieczeństwa informacji, było to, że identyfikator spotkania Zoom był wyraźnie widoczny z tweeta Borisa Johnsona, co nie jest tak naprawdę dobrym pomysłem, szczególnie gdy kwestie omawiane podczas wspomnianego spotkania są bardzo delikatne. Potem ludzie zaczęli przeszukiwać materiały marketingowe Zoom i wszystko się pogorszyło.

Spotkania Zoom nie mogą być w tym momencie szyfrowane od końca do końca

Również we wtorek The Intercept opublikował raport dotyczący jednej z opcji Zoom, która daje użytkownikom, a politycy i osoby odpowiedzialne za duże organizacje prawdopodobnie powinny go uważnie przeczytać.

Podczas tworzenia spotkania Zoom użytkownik może włączyć „szyfrowanie punktów końcowych innych firm”. Jeśli to zrobią, uczestnicy zostaną poinformowani, że spotkanie jest szyfrowane od końca do końca. Biała księga bezpieczeństwa, którą Zoom opublikował na swojej stronie internetowej, sugeruje również, że tego rodzaju szyfrowanie jest możliwe na spotkaniach, ale dochodzenie The Intercept ujawniło, że to po prostu nieprawda.

Spotkania wideo Zoom są szyfrowane, ale szyfrowanie nie jest kompletne. Zamiast tego wideo i audio przechodzą przez normalne połączenie TLS lub Transport Layer Security. Jest to ta sama technologia, z której korzystają witryny i aplikacje, które udostępniają treści za pośrednictwem HTTPS. Intercept skontaktował się z Zoomem, by skomentować, a rzecznik przyznał, że z powodu ograniczeń technologicznych prawdziwe szyfrowanie całościowe jest dostępne tylko dla czatów przechodzących przez platformę. Ale co to właściwie oznacza dla osób korzystających z usługi?

Jak brak kompleksowego szyfrowania wpływa na użytkowników?

Aplikacje do przesyłania wiadomości, takie jak WhatsApp i Telegram, nie zawahają się przed reklamowaniem korzystania z szyfrowania typu end-to-end i jego korzyściami dla prywatności. Główną zaletą szyfrowanej komunikacji typu end-to-end jest to, że chociaż informacje przechodzą przez serwery dostawcy usług, sam dostawca usług nie ma możliwości ich odszyfrowania.

W przypadku Zoom, dzięki TLS, spotkania są chronione przed nikim, kto węszy przez transmisję audio i wideo podczas podróży między urządzeniami użytkowników i serwerami Zoom. Jednak na serwerach pracownicy Zoom mogą teoretycznie go odszyfrować. Czy oni to zrobią?

Organy ścigania mogą poprosić internetową platformę konferencyjną o ujawnienie danych dotyczących konkretnych osób, ale prawdopodobieństwo, że wpłynie to na ciebie, nie jest tak duże. Brak kompleksowego szyfrowania jest z pewnością problemem dla polityków takich jak Boris Johnson, ale dla większości ludzi, którzy obecnie pracują w domu, nie powinno to być takie duże. Problemem jest jednak początkowa próba Zooma zlekceważenia błędu.

Po zapytaniu o przyczynę tego zamieszania rzecznik Zoom powiedział The Intercept, że przez „szyfrowanie kompleksowe” oznacza to, że dane są szyfrowane we wszystkich „punktach końcowych Zoom” i „punktach końcowych”, oznaczały urządzenia użytkowników. Tego rodzaju liberalna interpretacja dobrze zdefiniowanych pojęć jest naprawdę nie do przyjęcia, zwłaszcza gdy pamiętasz, że platforma, o której mówimy, jest używana przez rządy niektórych światowych supermocarstw. W końcu Zoom zdał sobie sprawę, że nie robi sobie żadnych przysług, a wczoraj opublikował post na blogu, z którym przyznał, że pozwolił swojemu zespołowi marketingowemu trochę się ponieść. Twórcy platformy przeprosili za zamieszanie, a teraz Boris Johnson i miliony innych użytkowników Zoom decydują, czy przyjąć przeprosiny. Podczas gdy on jest przy tym, pan Johnson może również pomyśleć o środkach ostrożności w zakresie bezpieczeństwa cybernetycznego, które jego gabinet podejmuje podczas organizacji spotkań online.