Zoom, videokonferens-lösningen, fortsätter att skapa rubriker av samma skäl – bristande säkerhet. Den här gången handlar det om bristande säkerhet runt videomöten, lätt-gissade filnamn och kopplingar till diktaturen i Kina.
Mönstret är tydligt – Zoom är ett företag med en kultur där det antingen tas genvägar eller så negligeras enkla, tydliga rekommendationer – eller båda.
Krypteringen
I din egen dokumentation skriver Zoom att ”end-to-end” kryptering används. Det stämmer inte. Zoom använder inte denna form av kryptering utan en mindre säker metod. Zoom skriver att AES-256 bitars kryptering används. Det stämmer inte heller. Zoom använder AES-128 bitars kryptering.
Zoom vill ge intryck av att alla möten och all kommunikation skyddas på ett betydligt bättre sätt än vad som är är fallet. Därmed inte sagt att AES-128 bitars kryptering inte innebär ett skydd eller att kommunikationen görs på ett oskyddat osäkert sätt. Det allvarliga och anmärkningsvärda är att Zoom lämnar felaktig information i sin dokumentation och i informationen till användarna.
Tilläggas kan att den kryptering som Zoom använder, och det sätt på vilket AES-128 bitars krypteringen används, en nyckel för alla deltagarna i ett möte, inte rekommenderas inom branschen. Det anses som ett mindre säkert sätt.
The AES key appears to be generated and distributed to the meeting’s participants by Zoom servers. Zoom’s encryption and decryption use AES in ECB mode, which is well-understood to be a bad idea, because this mode of encryption preserves patterns in the input. Industry standard protocols for encryption of streaming media (e.g., the SRTP standard) recommend the use of AES in Segmented Integer Counter Mode or f8-mode, which do not have the same weakness as ECB mode.
Kopplingar till Kina
Zoom har sitt huvudkontor i USA men ser ut att ha kopplingar till diktaturens Kina via åtminstone tre bolag med sammanlagt 700 anställda. En genomgång av universitetet i Toronto pekar mot att mjukvara utvecklas av tre kinesiska bolag med samma namn, ”Ruanshi Software”. Två av de tre bolagen ägs av Zoom medan det tredje ägs av “American Cloud Video Software Technology Co., Ltd”.
While Zoom is headquartered in the United States, and listed on the NASDAQ, the mainline Zoom app appears to be developed by three companies in China, which all have the name 软视软件 (“Ruanshi Software”). Two of the three companies are owned by Zoom, whereas one is owned by an entity called 美国云视频软件技术有限公司 (“American Cloud Video Software Technology Co., Ltd.”) Job postings for Ruanshi Software in Suzhou include open positions for C++ coders, Android and iOS app developers, and testing engineers.
Zoom använder sig av kinesiska utvecklare, kan hålla nere lönerna och sina utvecklingskostnader men det betyder också att Zoom kan utsättas för påtryckningar frpn den kinesiska diktaturen.
Unfortunately for those hoping for privacy, the implementation of call security in Zoom may not match its exceptional usability. We determined that the Zoom app uses non-industry-standard cryptographic techniques with identifiable weaknesses. In addition, during multiple test calls in North America, we observed keys for encrypting and decrypting meetings transmitted to servers in Beijing, China.
Notera den sista meningen – krypteringsnycklar skickades till servrar i Beijing, Kina.
Filnamn
Washington Post har också granskat Zoom, tjänsten och säkerheten runt Zoom.
Videos viewed by The Washington Post included one-on-one therapy sessions; a training orientation for workers doing telehealth calls that included people’s names and phone numbers; small-business meetings that included private company financial statements; and elementary school classes, in which children’s faces, voices and personal details were exposed.
Hur kan nu detta komma sig?
Jo, Zoom använder lätt-gissade filnamn. Vilket gör att det går att gissa sig till vad filer heter – de filer som innehåller kommunikationen mellan deltagarna:
But because Zoom names every video recording in an identical way, a simple online search can reveal a long stream of videos elsewhere that anyone can download and watch. The Washington Post is not revealing the naming convention that Zoom uses, and Zoom was alerted to the issue before this story was published.
Slutsats: Zoom använder inte en metod för att använda slumpmässiga namn på filerna. Något som borde vara ett grundkrav.
Alla missar
TidsBits Glenn Fleishman har sammanställt de missar, buggar och genvägar som Zoom tagit genom åren. Det är en skrämmande uppräkning som visar ett entydigt mönster – Zoom bryr sig i första hand på att samla användare, skapa en lättanvänd tjänst, app och program. Säkerheten är det däremot inte så noga med.
Mitt råd står fast – kasta ut Zoom.
0 kommentarer