Сквозное шифрование в системе видеоконференции Zoom оказалось фикцией

Zoom Новости

Заявленная сервисом видеоконференций Zoom поддержка сквозного (end-to-end) шифрования оказалась маркетинговой уловкой. На деле управляющая информация передавалась с использованием обычного TLS-шифрования между клиентом и сервером (как при использовании HTTPS), а транслируемый по UDP поток с видео и звуком шифровался при помощи симметричного шифра AES 256, ключ для которого передавался в рамках сеанса TLS.

Оконечное шифрование подразумевает шифрование и расшифровку на стороне клиента, так что на сервер поступают уже зашифрованные данные, которые может расшифровать только клиент. В случае Zoom шифрование применялось для канала связи, а на сервере данные обрабатывались в открытом виде и сотрудники Zoom могли получить доступ к передаваемым данным. Представители Zoom пояснили, что под end-to-end шифрованием подразумевали шифрование трафика, передаваемого между своими серверами.

Кроме того, Zoom уличили в нарушении законодательства Калифорнии в отношении обработки конфиденциальных данных – приложение Zoom для iOS передавало данные аналитики в Facebook, даже если пользователь не использовал учётную запись в Facebook для подключения к Zoom. Из-за перехода к работе на дому во время пандемии коронавируса SARS-CoV-2 многие компании и госучреждения, в том числе правительство Великобритании, перешло на проведение совещаний с использованием Zoom. Сквозное шифрование преподносилось как одна из ключевых возможностей Zoom, что способствовало росту популярности сервиса.

Сквозное шифрование в системе видеоконференции Zoom оказалось фикцией

Дополнение: В клиенте Zoom для macOS выявлены две уязвимости. Первая позволяет локальному непривилегированному атакующему получить права root в системе, а вторая получить доступ к камере и микрофону. В клиенте для Windows найдена ещё одна уязвимость, позволяющая при открытии присланной ссылки узнать хэш-пароля пользователя (при клике на ссылке c путём UNC, осуществляется попытка подключения к внешнему SMB-ресурсу с передачей параметров аудентификации с использованием NTLM).

Publisher
Оцените автора
AsaDagar
Добавить комментарий