Zoom stöder inte en-till-en-kryptering under onlinemöten

På tisdagen publicerade Storbritanniens premiärminister Boris Johnson en tweet med vilken han visade sina anhängare hur hans kabinett fungerar under krisen orsakad av den nya coronavirus. Bilden visade ett onlinemöte mellan premiärminister Johnson och hans kollegor, och dess mål var enkelt - att försäkra nationen att även i dessa fruktansvärda tider fortsätter Storbritanniens politiker att arbeta för att göra alla till gagn. För vissa människor gjorde det förmodligen sitt jobb som en moralbooster. Bland säkerhetsgemenskapen höjde det dock en hel del ögonbrynen.

Skärmdumpen visar att Storbritanniens huvudsakliga styrande organ kommunicerar via Zoom, en videokonferensplattform som har gått igenom en massiv användningspik tack vare de miljoner människor som för närvarande arbetar hemifrån. Som en videokonferenslösning är Zoom ganska solid, men säkerhetsspecialister trodde att en organisation som är lika viktig som den brittiska regeringen förmodligen skulle använda något anpassat och skräddarsytt för dess behov. Det andra som informationssäkerhetsspecialisterna märkte var att Zoom-mötes-ID var tydligt synligt från Boris Johnsons tweet, vilket egentligen inte är en mycket bra idé, särskilt när de frågor som diskuterades under det nämnda mötet är så känsliga. Sedan började folk titta igenom Zooms marknadsföringsmaterial och saker blev värre.

Zoommöten kan inte krypteras End-to-End vid denna punkt

Även på tisdagen publicerade The Intercept en rapport om ett av alternativen som Zoom ger sina användare, och politiker och personer som ansvarar för stora organisationer bör antagligen läsa igenom den noggrant.

När du skapar ett Zoom-möte kan en användare aktivera "kryptering för tredje parts slutpunkter." Om de gör det, kommer deltagarna att få höra att mötet är krypterat från slutet till slutet. Den säkerhetsvitbok som Zoom har publicerat på sin webbplats antyder också att denna typ av kryptering är möjlig för möten, men The Intercepts undersökning avslöjade att detta helt enkelt inte är sant.

Zoomvideomöten är krypterade, men krypteringen är inte slut-till-ände. Istället passerar videon och ljudet via en normal TLS- eller Transport Layer Security-anslutning. Det är samma teknik som webbplatser och applikationer använder när de serverar innehåll via HTTPS. Avlyssnandet räckte till Zoom för kommentar, och en talesman medgav att på grund av tekniska begränsningar är verklig end-to-end-kryptering bara tillgänglig för chattar som går igenom plattformen. Men vad betyder det egentligen för de människor som använder tjänsten?

Hur påverkar användaren bristen på en-till-än-kryptering?

Meddelandeprogram som WhatsApp och Telegram kommer inte att avskräcka från att berätta användningen av en-till-ende-kryptering och dess integritetsfördelar. Den största fördelen med krypterad kommunikation från slutet till slut är att även om informationen går igenom tjänsteleverantörens servrar, har tjänsteleverantören själv inte möjligheten att dekryptera den.

När det gäller Zoom, tack vare TLS, är mötena skyddade från vem som helst som sniffar genom ljud- och videoöverföringen medan den reser mellan användares enheter och Zooms servrar. När det finns på servrarna kan dock Zoom-anställda teoretiskt dekryptera det. Ska de göra det?

De brottsbekämpande myndigheterna kan be onlinekonferensplattformen att avslöja information om enskilda individer, men sannolikheten för att du påverkas av detta är inte så stor. Bristen på en-till-än-kryptering är verkligen ett problem för politiker som Boris Johnson, men för de flesta som för närvarande arbetar hemifrån, borde det inte vara så stort. Vad som är ett problem är dock Zooms första försök att bagatellisera felet.

Efter att ha blivit frågad om vad som orsakade denna förvirring, berättade en Zoom-talare The Intercept att med "en-till-ände-kryptering" menade de att data är krypterade på alla olika "Zoom-slutpunkter" och med "slutpunkter", de betydde användares enheter. Den här typen av liberal tolkning av väldefinierade begrepp är inte riktigt acceptabel, särskilt när du tänker på att plattformen vi pratar om används av regeringarna i några av världens stormakter. Så småningom insåg Zoom att det inte gör sig själv något gynnar, och i går publicerade det ett blogginlägg med vilket det medgav att det låter sitt marknadsföringsteam bli lite bortdraget. Plattformens utvecklare ber om ursäkt för förvirringen och det är nu upp till Boris Johnson och miljontals andra Zoom-användare att bestämma sig för att acceptera ursäkten. Medan han är vid det, kanske Johnson också tänker på de skyddsåtgärder för cybersäkerhet som hans kabinett vidtar under organisationen av dess online-möten.