Trots påståenden är Zoom-samtal inte krypterade från slut till slut

En rapport hävdar att videokonferenstjänsten Zoom faktiskt inte använder end-to-end-kryptering som den normalt definieras eftersom Zoom fortfarande har tillgång till okrypterat ljud och video.

Enligt Avlyssningen:

Zoom, videokonferenstjänsten vars användning har ökat mitt i Covid-19-pandemin, påstår sig implementera end-to-end kryptering, allmänt förstått som den mest privata formen av internetkommunikation, som skyddar konversationer utifrån fester. Faktum är att Zoom använder sin egen definition av termen, en som låter Zoom själv komma åt okrypterad video och ljud från möten.

Som rapporten noterar innebär standarddefinitionen av E2E-kryptering att ingen extern part kan komma åt en konversation. Enligt rapporten, medan Zoom påstår sig använda E2E-kryptering, beskrivs dess säkerhet mer exakt som "transportkryptering":

Så länge du ser till att alla i ett Zoom-möte ansluter med hjälp av "datorljud" istället för att ringa in på en telefon, är mötet säkrad med end-to-end-kryptering, åtminstone enligt Zooms webbplats, dess säkerhetsbok och användargränssnittet inom app. Men trots denna vilseledande marknadsföring stöder tjänsten faktiskt inte end-to-end-kryptering för video- och ljudinnehåll, åtminstone som termen brukar förstås. Istället erbjuder det vad som vanligtvis kallas transportkryptering, förklaras längre ner.

instagram viewer

I flera fall inom Zooms säkerhetsbok, nämns E2E-kryptering, och när du aktiverar E2E kan du sväva över det gröna hänglåset i det övre vänstra hörnet av en möte och se popupen "Zoom använder en slut för att avsluta krypterad anslutning." The Intercept hävdar dock att när det nådde Zoom för kommentar sa en talesman:

"För närvarande är det inte möjligt att aktivera E2E-kryptering för Zoom-videomöten. Zoom-videomöten använder en kombination av TCP och UDP. TCP-anslutningar görs med TLS och UDP-anslutningar krypteras med AES med hjälp av en nyckel som förhandlas fram över en TLS-anslutning. "

Detta innebär att medan ditt samtal skyddas av säkerhetsåtgärder, "kan själva Zoom-tjänsten få tillgång till okrypterat video- och ljudinnehåll i Zoom-möten". Så medan ingen som försöker smyga på dig kan komma åt mötesdata, kan Zoom själv se allt. Som rapporten noterar skulle sann end-to-end-kryptering innebära att endast deltagarna i en zoom samtal skulle ha tillgång till video- och ljudinnehållet i mötet och ha möjlighet att dekryptera det. Om Zoom kunde få åtkomst till krypterat innehåll utan att dekryptera det skulle det fortfarande vara E2E-kryptering. Men det är inte vad som händer här. Som svar sa Zoom:

"När vi använder frasen" End to End "i vår andra litteratur, är det en hänvisning till att anslutningen krypteras från Zoom-slutpunkten till Zoom slutpunkt ", skrev Zoom-talesmannen och hänvisade tydligen till Zoom-servrar som" slutpunkter "trots att de sitter mellan Zoom kunder. "Innehållet dekrypteras inte eftersom det överförs över Zoommolnet" via nätverket mellan dessa maskiner.

Zoom föll på integritetsproblem förra veckan efter att det visade sig att användardata skickades till Facebook även om användaren inte hade ett Facebook-konto, ett problem som sedan har rättats till.

Beträffande denna senaste avslöjande noterar rapporten:

Utan end-to-end-kryptering har Zoom den tekniska förmågan att spionera på privata videomöten och kan vara det tvingas överlämna inspelningar av möten till regeringar eller brottsbekämpning som svar på lagliga begäranden. Medan andra företag som Google, Facebook och Microsoft publicerar transparensrapporter som beskriver exakt hur många myndigheter förfrågningar om användardata de får från vilka länder och hur många av dem de följer, Zoom publicerar inte öppenhet Rapportera.

Du kan läsa hela rapporten här.