Сквозное шифрование в системе видеоконференции Zoom оказалось фикцией
1 апреля 2020 года
Заявленная сервисом видеоконференций Zoom поддержка сквозного (end-to-end) шифрования оказалась маркетинговой уловкой. На деле управляющая информация передавалась с использованием обычного TLS-шифрования между клиентом и сервером (как при использовании HTTPS), а транслируемый по UDP поток с видео и звуком шифровался при помощи симметричного шифра AES 256, ключ для которого передавался в рамках сеанса TLS.
Оконечное шифрование подразумевает шифрование и расшифровку на стороне клиента, так что на сервер поступают уже зашифрованные данные, которые может расшифровать только клиент. В случае Zoom шифрование применялось для канала связи, а на сервере данные обрабатывались в открытом виде и сотрудники Zoom могли получить доступ к передаваемым данным.
Представители Zoom пояснили, что под end-to-end шифрованием подразумевали шифрование трафика, передаваемого между своими серверами. Они утверждают, что «контент не расшифровывается по мере прохождения через облачную инфраструктуру Zoom». По их объяснению, собираются данные пользователя, необходимые для улучшения качества программы, как IP-адреса, сведения об ОС и устройстве.
Однако в сервисе считают, что утечка адресов электронной почты и фотографий пользователей и видеозвонки с незнакомыми людьми возможны из-за ошибки с обработкой контактов, которые относятся к одной организации.
В мессенджере контакты группируются по почтовому домену, чтобы пользователи смогли найти нужного человека, посмотреть его фотографии, электронную почту и инициировать с ним видеозвонок. Всё это имеет смысл для сотрудников одной компании, но группировка происходит и с теми, кто пользуется для работы личной электронной почтой.
Кроме того, Zoom уличили в нарушении законодательства Калифорнии в отношении обработки конфиденциальных данных — приложение Zoom для iOS передавало данные аналитики в Facebook, даже если пользователь не использовал учётную запись в Facebook для подключения к Zoom. Из-за перехода к работе на дому во время пандемии коронавируса SARS-CoV-2 многие компании и госучреждения, в том числе правительство Великобритании, перешло на проведение совещаний с использованием Zoom. Сквозное шифрование преподносилось как одна из ключевых возможностей Zoom, что способствовало росту популярности сервиса.
 |
См. также: Уязвимость в Zoom позволяла подключаться к чужим разговорам |
Источники
править- «Сквозное шифрование в системе видеоконференции Zoom оказалось фикцией». OpenNET, 1 апреля 2020 года. (архив) (CC-BY)
- «Zoom фактически не обеспечивает сквозное шифрование, а также допускает утечку данных пользователей из-за ошибки группировки доменов». itc.ua, 1 апреля 2020 года. (архив)
- «Утечки данных, отсутствие шифрования, передача данных Facebook: за что критикуют видеоконференции Zoom и есть ли замена». vc.ru, 1 апреля 2020 года. (архив)
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
