在線會議期間Zoom不支持端到端加密

Zoom Doesn't Support End-to-End Encryption During Meetings

週二,英國首相鮑里斯·約翰遜(Boris Johnson)發布了一條推文 ,向他的追隨者們展示了他的追隨者在新型冠狀病毒引起的危機中的運作情況。該照片顯示了約翰遜首相與其同事之間的在線會議,其目標很簡單–向英國保證,即使在這可怕的時期,英國政客仍在為所有人的更大利益而努力。對於某些人來說,它可能起到了鼓舞士氣的作用。但是,在安全界中,它引起了不少注意。

屏幕快照顯示,英國主要管理機構通過視頻會議平台Zoom進行通信,由於目前在家中工作的數百萬人,視頻會議平台的使用量激增。作為視頻會議解決方案,Zoom非常可靠,但是安全專家認為,像英國政府這樣重要的組織可能會使用定制的內容並根據其需求量身定制。信息安全專家注意到的第二件事是,從鮑里斯·約翰遜(Boris Johnson)的推文中可以清楚地看到Zoom Meeting ID,這並不是一個好主意,特別是當在該會議上討論的問題如此敏感時。然後,人們開始仔細查看Zoom的營銷材料,情況變得更糟。

目前無法對Zoom會議進行端到端加密

同樣在星期二, Intercept發布了一份有關Zoom為用戶提供的選項之一的報告,政治家和大型組織的負責人可能應該仔細閱讀它。

創建縮放會議時,用戶可以啟用“第三方端點的加密”。如果這樣做,將告訴與會者會議是端到端加密的 。 Zoom在其網站上發布的安全白皮書還暗示,會議可以使用這種類型的加密,但是Intercept的調查顯示這根本不正確。

縮放視頻會議已加密,但加密不是端到端的。而是,視頻和音頻通過普通的TLS或傳輸層安全性連接。網站和應用程序通過HTTPS提供內容時使用的技術相同。攔截器向Zoom提出了評論,發言人承認,由於技術限制,真正的端到端加密僅適用於通過平台進行的聊天。但是,這對於使用該服務的人實際上意味著什麼?

缺乏端到端加密會對用戶產生什麼影響?

諸如WhatsApp和Telegram之類的消息傳遞應用程序不會迴避吹捧使用端到端加密及其隱私優勢。端到端加密通信的主要優點是,儘管信息通過服務提供商的服務器傳遞,但服務提供商本身沒有解密信息的手段。

在使用Zoom的情況下,借助TLS,可以保護會議免受在用戶設備和Zoom的服務器之間傳播時通過音頻和視頻傳輸進行監聽的任何人的侵害。但是,將其放在服務器上時,Zoom員工理論上可以對其進行解密。他們會這樣做嗎?

執法機構可能會要求在線會議平台披露特定個人的數據,但是您受到此影響的可能性並不大。對於鮑里斯·約翰遜(Boris Johnson)這樣的政客來說,缺乏端到端加密無疑是一個問題,但是對於大多數目前在家工作的人來說,這沒什麼大不了的。但是,有一個問題是Zoom最初試圖淡化該錯誤。

在被問到造成這種混亂的原因之後,Zoom發言人告訴The Intercept,通過“端到端加密”,他們意味著數據是在所有不同的“ Zoom端點”和“端點”上加密的。是指用戶的設備。對定義明確的概念進行這種寬鬆的解釋實際上是不可接受的,尤其是當您牢記我們所談論的平台已被世界上一些超級大國的政府使用時。最終,Zoom意識到自己並沒有獲得任何幫助,昨天,它發布了一篇博客文章 ,並承認該博客讓其營銷團隊有些失落。該平台的開發者對此困惑表示歉意,現在由鮑里斯·約翰遜(Boris Johnson)和數百萬其他Zoom用戶決定是否接受道歉。在他開會時,約翰遜先生可能還會考慮他的內閣在組織其在線會議期間採取的網絡安全預防措施。

April 2, 2020

發表評論