Сквозное шифрование в системе видеоконференции Zoom оказалось фикцией

1 апреля 2020

Приложением стали чаще пользоваться для дистанционного обучения

Заявленная сервисом видеоконференций Zoom поддержка сквозного (end-to-end) шифрования оказалась маркетинговой уловкой. На деле управляющая информация передавалась с использованием обычного TLS-шифрования между клиентом и сервером (как при использовании HTTPS), а транслируемый по UDP поток с видео и звуком шифровался при помощи симметричного шифра AES 256, ключ для которого передавался в рамках сеанса TLS.

Оконечное шифрование подразумевает шифрование и расшифровку на стороне клиента, так что на сервер поступают уже зашифрованные данные, которые может расшифровать только клиент. В случае Zoom шифрование применялось для канала связи, а на сервере данные обрабатывались в открытом виде и сотрудники Zoom могли получить доступ к передаваемым данным.

Представители Zoom пояснили, что под end-to-end шифрованием подразумевали шифрование трафика, передаваемого между своими серверами. Они утверждают, что «контент не расшифровывается по мере прохождения через облачную инфраструктуру Zoom». По их объяснению, собираются данные пользователя, необходимые для улучшения качества программы, как IP-адреса, сведения об ОС и устройстве.

Однако в сервисе считают, что утечка адресов электронной почты и фотографий пользователей и видеозвонки с незнакомыми людьми возможны из-за ошибки с обработкой контактов, которые относятся к одной организации.

В мессенджере контакты группируются по почтовому домену, чтобы пользователи смогли найти нужного человека, посмотреть его фотографии, электронную почту и инициировать с ним видеозвонок. Всё это имеет смысл для сотрудников одной компании, но группировка происходит и с теми, кто пользуется для работы личной электронной почтой.

Кроме того, Zoom уличили в нарушении законодательства Калифорнии в отношении обработки конфиденциальных данных — приложение Zoom для iOS передавало данные аналитики в Facebook, даже если пользователь не использовал учётную запись в Facebook для подключения к Zoom. Из-за перехода к работе на дому во время пандемии коронавируса SARS-CoV-2 многие компании и госучреждения, в том числе правительство Великобритании, перешло на проведение совещаний с использованием Zoom. Сквозное шифрование преподносилось как одна из ключевых возможностей Zoom, что способствовало росту популярности сервиса.


 

ИсточникиПравить

 

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.