27.09.2020

Сквозное шифрование в системе видеоконференции Zoom оказалось фикцией


Заявленная сервисом видеоконференций Zoom поддержка сквозного (end-to-end) шифрования оказалась маркетинговой уловкой. На деле управляющая информация передавалась с использованием обычного TLS-шифрования между клиентом и сервером (как при использовании HTTPS), а транслируемый по UDP поток с видео и звуком шифровался при помощи симметричного шифра AES 256, ключ для которого передавался в рамках сеанса TLS.

Оконечное шифрование подразумевает шифрование и расшифровку на стороне клиента, так что на сервер поступают уже зашифрованные данные, которые может расшифровать только клиент. В случае Zoom шифрование применялось для канала связи, а на сервере данные обрабатывались в открытом виде и сотрудники Zoom могли получить доступ к передаваемым данным. Представители Zoom пояснили, что под end-to-end шифрованием подразумевали шифрование трафика, передаваемого между своими серверами.

Кроме того, Zoom уличили в нарушении законодательства Калифорнии в отношении обработки конфиденциальных данных — приложение Zoom для iOS передавало данные аналитики в Facebook, даже если пользователь не использовал учётную запись в Facebook для подключения к Zoom. Из-за перехода к работе на дому во время пандемии коронавируса SARS-CoV-2 многие компании и госучреждения, в том числе правительство Великобритании, перешло на проведение совещаний с использованием Zoom. Сквозное шифрование преподносилось как одна из ключевых возможностей Zoom, что способствовало росту популярности сервиса.

Источник: https://www.opennet.ru/opennews/art.shtml?num=52652

Добавить комментарий