Bildrechte
AFP
Das britische Kabinett hat sich über Zoom getroffen – etwas, von dem Forscher sagen, dass es möglicherweise nicht ideal ist
Die äußerst beliebte Video-Meeting-App Zoom weist "erhebliche Schwächen" auf, die sie möglicherweise für Geheimnisse ungeeignet machen.
Ein Team von The Citizen Lab stellte fest, dass Zoom eine nicht standardmäßige Verschlüsselung verwendet und Informationen über China überträgt.
Die Verwendung durch die Regierung – wie die Verwendung der App durch Boris Johnson für Kabinettssitzungen – sei möglicherweise nicht sinnvoll, warnten die Forscher.
Aber die App ist für die meisten Menschen in Ordnung, um in Kontakt zu bleiben, sagten sie.
Bis vor kurzem wurde Zoom hauptsächlich von großen Unternehmen für Videokonferenzen verwendet. Aber die Explosion der Benutzer während der Coronavirus-Pandemie hat "einen neuen Goldrausch für Cyber-Spione" ausgelöst, heißt es in dem Bericht des Citizen Lab.
Es warnte, dass Zoom "möglicherweise nicht geeignet ist" für:
- Regierungen und Unternehmen sorgen sich um Spionage
- Gesundheitsdienstleister, die mit sensiblen Patienteninformationen umgehen
- Aktivisten, Anwälte und Journalisten, die an sensiblen Themen arbeiten
Aber für Leute, die Zoom verwenden, um Freunde zu kontaktieren, gesellschaftliche Veranstaltungen abzuhalten oder Kurse oder Vorträge zu organisieren, "sollten unsere Ergebnisse nicht unbedingt relevant sein", heißt es in dem Bericht.
Analyse: Mach dir noch keine Sorgen
Von Joe Tidy, Cyber-Sicherheitsreporter
Laut Zoom finden täglich 200 Millionen Meetings statt, und trotz der schwerwiegenden Mängel, die in diesem neuesten Bericht aufgedeckt wurden, kann man mit Sicherheit sagen, dass 199 Millionen von ihnen nicht in Gefahr sind.
Das Citizen Lab hat hier überzeugende Beweise dafür vorgelegt, dass es möglich ist, alle Daten eines Videotreffens zu sammeln und dann teilweise zu entschlüsseln, um grob herauszufinden, was gesagt und was gesehen wurde.
- Die britische Regierung verteidigt die Verwendung von Zoom durch PM
- Zoom ist in jedem Wohnzimmer – wie sicher ist es?
Es würde jedoch eine Menge Zeit und Mühe kosten, bis ein Hacker dies erreicht – und es wäre einfach nicht die Mühe wert, wenn ein durchschnittlicher Arbeitseinsatz oder ein freundliches Pub-Quiz für den Service durchgeführt wird. Es sind die hochrangigen Gespräche auf Vorstandsebene oder in der Regierung, die ins Visier genommen werden.
Die Regierung wurde von Anfang an vom National Cyber Security Center und anderen Sicherheitsexperten geleitet. Das Ziel war schon immer, eine offene und reibungslose Kommunikation zu ermöglichen, aber diese Forschung kann durchaus dazu führen, dass sich die Ratschläge zu Zoom schnell ändern.
"Zoom hat den klassischen Fehler gemacht, ein eigenes Verschlüsselungsschema zu entwerfen und zu implementieren, anstatt einen der bestehenden Standards für die Verschlüsselung von Sprach- und Videoinhalten zu verwenden", sagte Bill Marczak, Research Fellow bei The Citizen Lab.
"Natürlich ist die Verschlüsselung von Zoom besser als gar keine, aber Benutzer, die erwarten, dass ihre Zoom-Meetings vor Spionage geschützt sind, sollten zweimal überlegen, bevor sie die App verwenden, um vertrauliche Informationen zu diskutieren."
Die Forschung hat die Sicherheitsdienste in Großbritannien nicht überrascht, und es wird davon ausgegangen, dass ein Projekt "in Tempo" arbeitet, um vorhandene Kommunikationssysteme an die Anforderungen von Heimarbeit und Sicherheit anzupassen.
Das britische National Cyber Security Centre gab eine Erklärung heraus, in der es heißt: "Zoom wird verwendet, um unter den derzeit beispiellosen Umständen eine nicht klassifizierte Krisen-COVID-19-Kommunikation zu ermöglichen. Für sensiblere Kommunikation sind versicherte Dienste vorhanden, und die Bereitstellung dieser Dienste wird angesichts der Tatsache erweitert Forderungen nach viel größerer Fernarbeit. "
Die Regierung gibt nicht bekannt, welche Meetings für Zoom in Frage kommen und welche nicht. Als Beispiel wurde der BBC mitgeteilt, dass Zoom für Diskussionen auf Kabinettsebene sicher ist, nicht jedoch für Cobra-Notsitzungen.
Ein chinesisches "Herz" für das US-Unternehmen
Abgesehen von den Verschlüsselungsstandards stellten die Forscher auch fest, dass Zoom Datenverkehr nach China sendet – selbst wenn sich alle Personen in einem Zoom-Meeting außerhalb Chinas befinden.
"Bei mehreren Testanrufen in Nordamerika haben wir Schlüssel zum Ver- und Entschlüsseln von Besprechungen beobachtet, die an Server in Peking, China, übertragen wurden", heißt es in dem Bericht.
Bildrechte
EPA
Zoom ist trotz der in einigen Quartalen geäußerten Bedenken nach wie vor äußerst beliebt
Der Bericht wies auch auf die starke Beteiligung chinesischer Unternehmen an dem Unternehmen hin. Zoom hat seinen Hauptsitz in den USA, beschäftigt jedoch rund 700 Mitarbeiter in drei Unternehmen auf dem chinesischen Festland, die an der Entwicklung der App arbeiten.
- Zoom entschuldigt sich für Sicherheitsprobleme und verspricht Korrekturen
- Zoomen Sie unter zunehmender Kontrolle, wenn die Popularität steigt
"Wenn die Entwicklung von China aus betrieben wird, muss Zoom wahrscheinlich die Gehälter im Silicon Valley zahlen, die Ausgaben senken und die Gewinnspanne erhöhen. Diese Vereinbarung könnte Zoom jedoch auch dem Druck der chinesischen Behörden aussetzen", heißt es in dem Bericht.
Ein "Roll your own" -Ansatz
Das Team sagte, es gibt gemischte und verwirrende Nachrichten über die Art der Verschlüsselung, die Zoom tatsächlich verwendet.
An einigen Stellen wird den Benutzern mitgeteilt, dass die "End-to-End" -Verschlüsselung verwendet wird – der Goldstandard für sicheres Messaging, der es dem Dienst oder anderen Zwischenhändlern unmöglich macht, auf Daten zuzugreifen. In seiner Dokumentation hat Zoom angegeben, dass eine Verschlüsselungsart namens AES-256 verwendet wird.
Aber die Forscher sagten, das sei nicht wahr. Stattdessen hat Zoom eine "eigene" Verschlüsselung eingeführt – mit einer Variante von AES-128 im "EZB-Modus".
Unter Sicherheitsforschern ist der EZB-Modus "eine schlechte Idee", da er einige der Muster des Originals beibehält. der Bericht sagte.
Bildrechte
Wikimedia
In dem Bericht wurde hervorgehoben, dass der "EZB-Modus" Muster beibehält und "eine schlechte Idee" ist.
Der Bericht sagt auch, dass Zoom keine End-to-End-Verschlüsselung verwendet, "da die meisten Leute den Begriff verstehen". Stattdessen wird die Transportverschlüsselung zwischen Geräten und Servern verwendet.
"Da Zoom keine echte End-to-End-Verschlüsselung implementiert, können sie Zoom-Aufrufe theoretisch entschlüsseln und überwachen", heißt es in dem Bericht. Es wurde jedoch darauf hingewiesen, dass Zoom selbst dieses Problem bereits angesprochen hat und versprochen hat, niemals einen solchen Mechanismus aufgebaut zu haben, auch wenn dies theoretisch möglich ist.
Während der Recherche konnte das Team mithilfe des Verschlüsselungsschlüssels ein Standbild aus einem Videotreffen extrahieren.
Zoom hat seine Verschlüsselungsrichtlinien klargestellt am 1. April entschuldigte er sich dafür, dass er fälschlicherweise darauf hingewiesen hatte, dass Besprechungen eine End-to-End-Verschlüsselung ermöglichen.
Es wurde auch versucht, Ängste in Bezug auf Datenschutz- und Sicherheitsprobleme zu zerstreuen, und versprochen, die nächsten 90 Tage ausschließlich mit "Vertrauens-, Sicherheits- und Datenschutzproblemen" zu verbringen.
Alan Woodward, Professor für Informatik an der Surrey University, sagte der BBC, dass eine umfassende Lösung erforderlich sei.
"Ich glaube nicht, dass Zoom dies einfach zu seiner Liste der Aufgaben hinzufügen kann, die in den nächsten 90 Tagen zu erledigen sind. Es ist möglich, aber dies erfordert eine Überarbeitung der Art und Weise, wie sie ihre Anrufe verschlüsseln. Es ist also ein großes Unterfangen." . "
Prof. Woodward fügte hinzu: "Ich würde Zoom nicht für sensible oder geheime Diskussionen verwenden."