Zoom's kryptering har, ifølge rapporten, 'alvorlige, velkjente svakheter'

To separate rapporter har avdekket ytterligere problemer innen den populære videokonferanseappen Zoom.

Først opp, en rapport fra The Verge bemerker at en sikkerhetspersonell har brukt et automatisert verktøy som kan gjennomsøke møter for å finne de som ikke er beskyttet av passord. Tilsynelatende var det i stand til å finne 2400 samtaler på en enkelt dag, og hentet en lenke til informasjon om møte, dato, klokkeslett, arrangør og møteemne. Fra rapporten:

Sikkerhetsprofesjonell Trent Lo og medlemmer av SecKC, en Kansas City-basert sikkerhetsmøtegruppe, laget et program kalt zWarDial som kan gjett automatisk Zoom møte-ID-er, som er 9-11 sifre lange, og hent informasjon om disse møtene, ifølge rapportere.

I tillegg til å kunne finne rundt 100 møter i timen, kan en forekomst av zWarDial vellykket bestemme en legitim møte-ID 14 prosent av tiden, sa Lo til Krebs on Security. Og som en del av de nesten 2400 kommende eller tilbakevendende Zoom-møtene zWarDial som ble funnet på en enkelt dag med skanning, ble programmet hentet et zoomekobling, dato og klokkeslett, møteorganisator og møteemne i henhold til data Lo delte med Krebs på Sikkerhet.

instagram viewer

I en uttalelse til The Verge angående dette problemet Zoom sa:

"Zoom oppfordrer brukere på det sterkeste til å implementere passord for alle møtene for å sikre at ikke inviterte brukere ikke kan delta... Passord for nye møter er aktivert som standard siden slutten av fjoråret, med mindre kontoeiere eller administratorer har valgt bort. Vi ser på unike kantsaker for å avgjøre om brukere under visse omstendigheter ikke er tilknyttet det kan hende at en kontoinnehaver eller administrator ikke hadde slått på passord som standard på det tidspunktet endringen skjedde laget. "

En annen separat rapport fra Avskjæringen publisert i dag hevder at Zooms krypteringsalgoritme har "alvorlige, velkjente svakheter" og det nøklene blir utstedt av servere noen ganger basert i Kina, selv om alle deltakerne er basert i OSS.

MØTER PÅ ZOOM, den stadig mer populære videokonferansetjenesten, krypteres ved hjelp av en algoritme med alvorlige, velkjente svakheter, og noen ganger ved hjelp av nøkler utstedt av servere i Kina, selv når møtedeltakere alle er i Nord-Amerika, ifølge forskere ved University of Toronto.

Forskerne fant også at Zoom beskytter video- og lydinnhold ved hjelp av et hjemmelaget krypteringsopplegg, at det er en sårbarhet i Zooms "venterom" -funksjon, og at Zoom ser ut til å ha minst 700 ansatte i Kina fordelt på tre datterselskaper. De konkluderer i en rapport for universitetets Citizen Lab - mye fulgt i informasjonssikkerhetsmiljøer - at Zooms tjeneste er "ikke egnet for hemmeligheter "og at det kan være juridisk forpliktet til å avsløre krypteringsnøkler til kinesiske myndigheter og" lydhør over for press "fra dem.

Zoom har ikke kommentert dette problemet, som også var rapporterte av Forbes som bemerker:

"... i et intervju publisert på Forbes fredag ​​sa administrerende direktør Eric Yuan at selskapet skulle sjekke hvordan det dirigerte samtaler til Kina, men understreket at dataene var beskyttet. Ettersom Citizen Lab ikke hadde sendt funnene sine til Zoom, og sa at det var i offentlig interesse å frigjøre informasjon så snart som mulig, ville ikke videokonferanseselskapet vært klar over funn. Men Yuan forsikret at hvis brukerdata ble overført til Kina når brukerne ikke engang var basert der, "er vi villige til å ta tak i det."

Sikkerhetsproblemer angående Zoom er nå tilsynelatende godt bemerket i samfunnet. Det oppmuntrende tegnet er at Zoom har lagt merke til, beklaget og lovet å fikse alle disse problemene i løpet av de neste 90 dagene, og fryse nye funksjoner i mellomtiden.