Zoom爆出視訊內容與解密金鑰後送中國伺服器 創辦人致歉表示後台網路設定錯誤
人紅是非多?爆紅的Zoom在數度被揭露安全風險後,再被發現會將用戶流量導向中國,而其不完善的加密則可能讓中國取得加密金鑰。
加拿大公民團體Citizen’s Lab發現,某些用戶視訊連線連同加密金鑰被導向中國伺服器,即使使用者人在北美。
該實驗室還發現,雖然Zoom文件聲稱其視訊流量採用AES-256的加密技術,但其實每次的Zoom會議僅使用一把ECB (Electronic Code Book)模式的AES-128金鑰來加/解密影音訊息。ECB模式會在加密時將加密規則以明碼保存,因此一般建議不要使用。
公民實驗室研究人員指出,AES-128金鑰是由Zoom的伺服器產生,在某些情形下,這些金鑰隨著Zoom流量流到中國的伺服器上。這個時候只要一把AES-128金鑰就足以解密Zoom封包內容,將讓Zoom通訊內容曝光,甚至被中國政府掌握。
Zoom執行長袁彬出面解釋,流量導向中國是Zoom的服務品質設定錯誤所致。正常情況下,Zoom用戶端會連到用戶所在地區或鄰近資料中心,如果因網路壅塞多次連線失敗後,用戶端即會改連到第二順位的資料中心。但一般Zoom有「地理圍柵」(geo-fencing)的限制,即歐洲用戶連向歐洲資料中心,而不會連向中國。但在今年疫情爆發時,Zoom急速擴增資料中心導致出錯,未全面設置地理圍柵,導致北美部份Zoom用戶被導向中國資料中心。
該公司已解決流量誤導的問題,也承諾將強化加密機制,並會援引專家意見以確保遵守最佳安全實作(best practice)。
這是兩周來Zoom又一次被揭露安全問題。上周Zoom首次承認其加密並非如宣稱的端對端加密,之後有人利用Zoom bombing手法,擅自闖人他人連線並安插不雅內容。隨後安全人員又發現Zoom app Mac版、Windows版有安全漏洞,可能讓駭客非經用戶同意安裝程序或注入JavaScript,藉此控制用戶相機或麥克風。袁彬上周已出面道歉,並承諾未來90天全力改善其安全問題。
由華裔美人袁彬創辦的Zoom因為武漢肺炎,數百萬人被迫在家上班或隔離而用戶高速成長。Zoom會議用戶去年底還只有1000萬人,今年3月已暴增到超過2億。