Sch├┤dzky zoomu nie s├║ ┼íifrovan├ę medzi koncov├Żmi bodmi, Flaw zobrazuje e-mailov├║ adresu a obr├ízky pou┼ż├şvate─żov: spr├ívy

Zoom sa ned├ívno stal platformou pre videokonferencie (prep├í─Źte Skype A Hangouts), preto┼że viac ─żud├ş teraz pracuje na dia─żku, zatia─ż ─Źo vykon├íva izol├íciu a z├írove┼ł zmier┼łuje koronav├şrusy. V posledn├Żch d┼łoch sa v┼íak spolo─Źnos┼ą Zoom zaoberala aj niektor├Żmi znepokojuj├║cimi bezpe─Źnostn├Żmi probl├ęmami. Aj ke─Ć spolo─Źnos┼ą uis┼ąuje pou┼ż├şvate─żov, ┼że platforma je bezpe─Źn├í, v d├┤sledku zlej spr├ívy pou┼ż├şvate─żsk├Żch ├║dajov do┼ílo k nieko─żk├Żm v├Żpadkom, ktor├ę by mohli odhali┼ą osobn├ę ├║daje pou┼ż├şvate─żov. Zd├í sa tie┼ż, ┼że Zoom nazna─Źuje, ┼że poskytuje komplexn├ę ┼íifrovanie pre v┼íetko, ale v skuto─Źnosti s├║ iba textov├ę konverz├ície k├│dovan├ę end-to-end na svojej platforme.

Zoom svinstvo, trag├ędia u┼ż├şvate─ża

Mnoho pou┼ż├şvate─żov uviedlo, ┼że v profiloch zv├Ą─Ź┼íenia m├┤┼żu vidie┼ą n├íhodn├║ e-mailov├║ adresu svojich ─żud├ş a dokonca aj svoje fotografie. Vystavenie e-mailovej adresy cudz├şm osob├ím je otvoren├í pozv├ínka na odosielanie nevy┼żiadanej po┼íty do va┼íej doru─Źenej po┼íty, je tu v┼íak znepokojivej┼íia str├ínka. Jeden m├┤┼że skuto─Źne za─Źa┼ą videohovor s n├íhodnou osobou, ktorej profil sa zobrazuje v jej kontaktoch, bez toho, aby o tom vedela. Ako sa to stalo?

zoom_us Pr├íve som sa pozrel na bezplatn├║ verziu ┼ípeci├ílneho pou┼żitia Zoomu a zaregistroval som sa v s├║kromnom e-maile. Teraz m├ím v adres├íri spolo─Źnosti 1 000 mien, e-mailov├Żch adries a dokonca aj obr├ízkov ─żud├ş. Je to z├ímern├ę? #GDPR pic.twitter.com/bw5xZIGtSE

– Jeron JFLBon (JJVLebon) 23. marca 2020

Zoom skuto─Źne udr┼żuje nie─Źo, ─Źo sa naz├Żva ÔÇ×Adres├ír spolo─ŹnostiÔÇť, kde s├║ v┼íetky e-mailov├ę adresy s rovnak├Żm n├ízvom dom├ęny (okrem v┼íeobecn├Żch adries ako Gmail a Yahoo) uveden├ę spolu. Zd├í sa, ┼że Zoom si je vedom├Ż podobn├Żch koncov dom├ęnov├Żch mien ako ─żudia pracuj├║ci v tej istej spolo─Źnosti, zd├í sa v┼íak, ┼że t├íto met├│da m├í svoje vlastn├ę nev├Żhody. Ak je va┼ía e-mailov├í adresa pridan├í do ÔÇ×adres├íra spolo─ŹnostiÔÇť, preto┼że si myslia, ┼że ste stovkou ─Ćal┼í├şch ─żud├ş, va┼íe fotografie m├┤┼żu vidie┼ą n├íhodn├ş cudzinci a dokonca v├ím m├┤┼żu zavola┼ą.

Toto je sn├şmka obrazovky probl├ęmu. Tento pou┼ż├şvate─ż sa zaregistroval pre svoju osobn├║ e-mailov├║ adresu, ale Zoom automaticky prid├í ka┼żd├ęho, kto pou┼ż├şva rovnak├║ e-mailov├║ slu┼żbu ako jeden z jeho kontaktov

ÔÇ×Samozrejme v┼íetci ─żudia, ktor├Żch neviem,ÔÇť povedal u┼ż├şvate─ż. https://t.co/VooUc2b7xF pic.twitter.com/JjSeXzjuSR

– Joseph Cox (josephfcox) 31. marca 2020

Ke─Ć spolo─Źnos┼ą Zoom informovala o tomto probl├ęme, spolo─Źnos┼ą tieto dom├ęny zaradila na ─Źiernu listinu. ÔÇ×Zoom zachov├íva ─Źiernu listinu dom├ęn a proakt├şvne identifikuje polia, ktor├ę sa maj├║ prida┼ą. Pokia─ż ide o konkr├ętne dom├ęny, ktor├ę ste vo svojej pozn├ímke zv├Żraznili, teraz je ─Źierna listina,ÔÇť uviedol hovorca Zoomu ako hovoriaci. Navy┼íe, ak je va┼ía e-mailov├í adresa tie┼ż ohrozen├í Nespr├ívny zoznam v adres├íri Zoom, m├┤┼żete skuto─Źne po┼żiada┼ą Zoom o jeho odstr├ínenie. Zoom hovor├ş na svojich webov├Żch str├ínkach, ┼że vlastn├şci alebo spr├ívcovia si m├┤┼żu zvoli┼ą vypn├║┼ą funkciu zaradenia do adres├íra.

Nie, videohovory Zoom nie s├║ ┼íifrovan├ę

ÔÇ×Rie┼íenie Zoom and Safety Engineering poskytuje end-to-end ┼íifrovanie a riadenie pr├şstupov├Żch stretnut├ş, tak┼że po─Źas prenosu nie je mo┼żn├ę zachyti┼ą ├║daje,ÔÇť hovor├ş Zoom na svojej webovej str├ínke. Vo vyhl├ísen├ş je mo┼żn├ę si myslie┼ą, ┼że volania Zoom s├║ ┼íifrovan├ę end-to-end, ale v skuto─Źnosti to tak nie je. V s├║─Źasnosti nie je mo┼żn├ę povoli┼ą k├│dovanie E2E pre videokonferencie Zoom.

Stretnutia Video Zoom pou┼ż├şvaj├║ kombin├íciu TCP a UDP. Spojenia TCP boli pren├í┼ían├ę pomocou ┼íifrovan├Żch pripojen├ş TLS a UDP pomocou AES pomocou dohodnut├ęho k─ż├║─Źa prostredn├şctvom pripojenia TLS, ÔÇ×Intercept uviedol hovorcu Zoom. Jedin├Żm obsahom, ktor├Ż je v aplik├ícii Zoom zak├│dovan├Ż od za─Źiatku do konca, je text v chatoch.

To znamen├í, ┼że Zoom m├í pr├şstup k neza┼íifrovan├ęmu video a audio obsahu pre stretnutia pou┼ż├şvate─żov. Toto nie je defin├şcia ┼íifrovania typu end-to-end. ├Üpln├ę ┼íifrovanie je, ke─Ć odosielate─ż a prij├şmate─ż pristupuje k obsahu textovej alebo multimedi├ílnej konverz├ície a de┼íifruje ho, preto┼że m├í de┼íifrovacie k─ż├║─Źe, nie samotn├Ż poskytovate─ż slu┼żieb.

To sa stane, ke─Ć pou┼ż├şvate aplik├ície ako Signal a WhatsApp, ale to nie je pr├şpad Zoom. Vo v┼íeobecnosti tretia strana nem├┤┼że odpo─Ź├║va┼ą pri videu alebo hlasovom rozhovore Zoom, ale k obsahu m├┤┼że pristupova┼ą samotn├í spolo─Źnos┼ą. Zoom samozrejme tvrd├ş, ┼że dodr┼żiava platn├ę ┼ítandardy ochrany osobn├Żch ├║dajov, ale sp├┤sob, ak├Żm Zoom na─Źrt├íva bezpe─Źnostn├Ż aspekt platformy na svojej webovej str├ínke, je trochu zav├ídzaj├║ci.