Zoom wordt vandaag opnieuw onder de loep genomen na een rapport dat de coderingsclaims van de videoconferentie-app misleidend zijn.
Zoom staat op zijn website en in zijn witboek over beveiliging dat de app end-to-end-codering ondersteunt, een term die verwijst naar een manier om gebruikersinhoud te beschermen, zodat het bedrijf er geen enkele toegang toe heeft.
Echter, een onderzoek door De onderschepping onthult dat Zoom videogesprekken beveiligt met TLS-codering, dezelfde technologie die webservers gebruiken om HTTPS-websites te beveiligen:
Dit staat bekend als transportcodering, wat anders is dan end-to-end-codering omdat de Zoom-service zelf toegang heeft tot de onversleutelde video- en audio-inhoud van Zoom-vergaderingen. Dus als je een Zoom-vergadering hebt, blijven de video- en audio-inhoud privé voor iedereen die je wifi bespioneert, maar niet voor het bedrijf.
Zoals het rapport duidelijk maakt, moet een Zoom-vergadering om end-to-end versleuteld te zijn, de oproep op een zodanige manier versleuteld moeten worden dat alleen de deelnemers aan de vergadering de mogelijkheid hebben om deze te ontsleutelen door middel van lokale versleuteling sleutels. Maar dat beveiligingsniveau is niet wat de service biedt.
Wanneer gevraagd door De onderschepping om commentaar te geven op de bevinding, ontkende een woordvoerder van Zoom dat het bedrijf gebruikers misleidde:
'Als we de uitdrukking 'End to End' in onze andere literatuur gebruiken, verwijst dit naar de verbinding die wordt gecodeerd van Zoom-eindpunt naar Zoom-eindpunt... De inhoud wordt niet gedecodeerd terwijl deze over de Zoom-cloud wordt overgedragen.'
Technisch gezien lijkt Zoom's in-meeting tekstchat de enige functie van Zoom te zijn die daadwerkelijk end-to-end versleuteld is. Maar in theorie zou de dienst privé-videovergaderingen kunnen bespioneren en gedwongen worden om opnames van vergaderingen te overhandigen aan regeringen of wetshandhavers in reactie op juridische verzoeken.
Zoom vertelde De onderschepping dat het alleen gebruikersgegevens verzamelt die het nodig heeft om zijn service te verbeteren - dit omvat IP-adressen, OS-details en apparaatdetails - maar het geeft medewerkers geen toegang tot de inhoud van vergaderingen.
hoeveel kost een enkele airpod?
Vorige week werden de praktijken van Zoom voor het delen van gegevens bekritiseerd nadat bleek dat de dienst gegevens naar Facebook verzond zonder het feit aan klanten bekend te maken. Het bedrijf heeft vervolgens de app geüpdatet om de Facebook-inlogfunctie te verwijderen en de toegang tot gegevens te voorkomen.
Update: Zoals opgemerkt door TechCrunch , heeft beveiligingsonderzoeker Patrick Wardle twee voorheen niet bekendgemaakte zero-day-kwetsbaarheden onthuld die van invloed zijn op Zoom.
Tags: beveiliging , Apple privacy , Encryptie
Populaire Berichten