В связи с карантином, введенным из-за пандемии коронавируса, возросла популярность платформ для конференцсвязи, в частности Zoom. Поэтому сервис попал под пристальное внимание экспертов по кибербезопасности.
Как недавно стало известно , используемое разработчиками Zoom толкование термина «сквозное шифрование» («end-to-end encryption») отличается от общепринятого. Под «сквозным шифрованием» эксперты в области кибербезопасности понимают шифрование передаваемых данных таким образом, чтобы доступ к ним был только у отправителя и получателя. При таком шифровании доступа к коммуникациям пользователей нет даже у самого сервис-провайдера.
Однако в понимании разработчиков Zoom используемое ими шифрование данных между клиентами и серверами компании также является «сквозным». Теоретически, компания может получать доступ к разговорам, хотя, по ее словам, она никогда этого не делала.
Как сообщают специалисты Citizen Lab, своеобразное понимание термина «end-to-end encryption» — не единственная проблема с шифрованием в Zoom. В ходе тестовой связи между Канадой и США выяснилось, что используемые сервисом ключи шифрования отправляются на серверы в Пекине.
«Возникает вопрос, почему компания, обслуживающая пользователей преимущественно в США, отправляет ключи шифрования на серверы в Китае, учитывая, что Zoom может быть обязан по закону раскрывать эти ключи китайским властям», — пишут специалисты.
Согласно отчету , поданному компанией Zoom в Комиссию по ценным бумагам и биржам США, число ее сотрудников в Китае, работающих в области «исследований и разработки», превышает 700 человек.
«В отчете также сказано, что 81% доходов Zoom приходится на Северную Америку. Разработка платформы в Китае, вероятно, избавляет Zoom от необходимости платить зарплату сотрудникам в Кремниевой долине, уменьшая расходы компании и увеличивая прибыль. Однако такое положение дел также открывает Zoom для давления со стороны китайских властей», — сообщили специалисты.
После публикации исследования специалистов Citizen Lab представители Zoom сделали заявление: ключи шифрования отправлялись на серверы в Пекине по ошибке.