英国内阁一直在通过Zoom开会-研究人员说这可能不是理想的选择
广受欢迎的视频会议应用程序Zoom具有"明显的弱点",可能使其不适合秘密。
The Citizen Lab的一个小组发现,Zoom使用的是非标准加密类型,并且正在通过中国传输信息。
研究人员警告说,政府的使用(例如鲍里斯·约翰逊(Boris Johnson)在内阁会议上使用该应用程序)可能不明智。
他们说,但是该应用适合与大多数人保持联系。
直到最近,Zoom主要还是被大型企业用于视频电话会议。但《公民实验室》的报告说,在冠状病毒大流行期间,用户数量的激增创造了"网络间谍的新淘金热"。
它警告说Zoom可能不适用于:
· 政府和企业担心间谍活动
· 医疗保健提供者处理敏感的患者信息
· 活动家,律师和新闻工作者从事敏感话题
分析:对于大多数人来说还是不错的
网络安全记者乔·提迪(Joe Tidy)
Zoom表示,现在每天有2亿次会议在进行,尽管这份最新报告发现了严重的缺陷,但可以肯定地说,1.99亿次会议没有危险。
公民实验室在这里显示出令人信服的证据,表明可以收集视频会议的所有数据,然后对其进行部分解密以大致了解说出的内容和看到的内容。
但是,黑客要花费大量的时间和精力才能实现这一目标-对于在此服务上进行的一般工作杂乱无章或友好的问答竞赛,这根本是不值得的。目标是公司董事会或政府的高层对话。
美国公司的中国"心脏"
除了加密标准外,研究人员还发现,即使Zoom会议中的所有人都在中国境外,Zoom也会向中国发送流量。
报告说:"在北美的多次测试通话中,我们观察到了加密和解密传输到中国北京服务器的会议的密钥。"
该报告还指出,中国公司大力参与了该公司。Zoom的总部位于美国,但在中国大陆的三家公司中拥有约700名员工,致力于该应用程序的开发。
报告称:"中国以外的发展势头可能使Zoom节省了支付硅谷的薪水,减少了开支并提高了利润率。但是,这种安排也可能使Zoom面临来自中国当局的压力。"
该团队表示,围绕Zoom实际使用的加密类型,消息混杂而混乱。
在某些地方,它告诉用户它使用了"端到端"加密-安全消息传递的标准,这使服务或任何其他中间商无法访问数据。Zoom在其文档中表示,它使用一种称为AES-256的加密类型。
但是研究人员说这是不正确的。取而代之的是,Zoom使用了" ECB模式"中称为AES-128的变体来加密。在安全研究人员,ECB模式"是很好理解的是一个坏主意",因为它保留了一些原有的模式,该报告称。
该报告还说,"正如大多数人理解的那样",Zoom没有使用端到端加密。相反,它在设备和服务器之间使用"传输"加密。
报告说:"由于Zoom没有实现真正的端到端加密,因此它们具有解密和监视Zoom调用的理论能力。" 但是它指出,Zoom本身已经解决了这个问题,并承诺即使在理论上可行,他们也从未建立过这样的机制。
在研究过程中,该团队能够使用加密密钥从视频会议中提取静止图像。
在4月1日,对错误地暗示会议可以进行端到端加密表示歉意。
它还平息了人们对隐私和安全问题的恐惧,承诺在接下来的90天里专门致力于"信任,安全和隐私问题"。
萨里大学计算机科学教授艾伦·伍德沃德(Alan Woodward)告诉英国广播公司(BBC),需要进行重大修复。
"我不认为Zoom可以在未来90天内将其添加到他们的工作清单中。这是有可能的,但这需要重新设计他们加密呼叫的方式,因此这是一项重要的工作。"
伍德沃德教授补充说:"我不会使用Zoom进行任何敏感或秘密的讨论。"
小编还是经常使用zoom进行在线通话和屏幕共享的,毕竟个人没有什么机密。
閱讀更多 科技新窗 的文章
