警告: ZOOM正在向中国发送密钥

【中英对照翻译】 https://spark.adobe.com/page/oiLFlnSmAzYVo/

作者/ Author: Thomas Brewster

翻译/简评: freedust

PR:TCC幸福

校对:Julia Win

简评:

我们处于一个资讯爆炸的大数据时代,资讯安全,应该是我们关注的基本安全之一,而Zoom向中共发送密钥,将对全球的资讯安全造成巨大威胁!密钥,是通过多数位随机数加密码等方式,对数据进行加密的一种参数。理论上,如果在没有掌握密钥的情况下,除非通过超级计算,一般是无法破解高数位密钥加密的。但是,如果在对方拥有你密钥的情况下,基本上可以视为,近乎同时的获得跟你一样的资讯内容,你所说所做,参加的会议,一切都不再有私密性。在这个资讯引领很多领域的时代,大到金融、军事、集团公司决策,小到个人隐私、习惯偏好、消费习惯等,无论你在哪里,无一不跟数据和数据的传输相关。如果Zoom是邪恶中共培植的公司,那就意味着,中共可以在第一时间,掌握世界上所有使用Zoom软体的团体和个人的资讯,从而做出对自己有利的决定。这无疑对全球安全构成了绝对大的威胁。

我们应该非常审慎地对待Zoom关于安全的任何承诺,安排独立机构对其进行全面彻底的调查。如果发现它与邪恶中共有任何勾兑,应在第一时间采取措施,并修改以往安全方案。因此呼吁,各方对此应引起足够重视!数据安全已成为国家安全的重要组成部分,也代表着司法主权等,已相当于国家的第一主权。

警告:Zoom正在向中国发送密钥

据研究人员称,在这个“在家工作的冠状病毒时代”广受欢迎的视频会议巨头Zoom,将用户数据发送到中共国。学者是在他们的软件测试中发现的,即便用户不在中共国使用该软件,他们的咨讯,也会将解锁对话的数据块的加密密钥,发送至中共国。

这项研究于周五《福布斯》发布之前就提交了,在此之前的一周对于Zoom来说是艰难的。因为它必须为隐私和安全方面的各种缺陷表示歉意。该报告的作者比尔·玛律扎克(Bill Marczak),和位于多伦多大学市民实验室(Citizen Lab)的约翰·斯科特·拉尔顿(John Scott-Railton)说,他们发现并提出了有关美国的政府组织,是否应该使用它的执疑。

研究者监视了ZOOM的操作程序

昨天,《福布斯》(Forbes)透露,处理冠状病毒反应的美国机构,在3月底的短短几天内,就在Zoom技术上花费了130万美元。不仅疾病预防控制中心(CDC)和联邦紧急事务管理局(FEMA),在Zoom上花费了数十万美元,来进行与COVID-19相关的网路研讨会和电话会议,而且其他政府机构,也纷纷接受了该技术。其中包括国务院和一个据称是,中国重大骇客事件的受害者的人事管理办公室,该事件导致2100万美国人的私人数据泄露。英国政府也是该工具的知名用户,通过Zoom主持了重要的内阁会议。

这项研究似乎提出了很多问题,Zoom确实需要详细回答这些问题,而不是含糊的承诺或否认。萨里大学(University of Surrey)密码学专家艾伦·伍德沃德(Alan Woodward)教授说,如果你想让人们信任你的产品,就要做到透明化。

关注Zoom:看它如何突破在家的限制和审查
ZOOM与2019年在Nasdaq上市

Zoom没有回复记者的置评请求。但在上周五发表于《福布斯》(Forbes)杂志上的一篇采访中,该公司首席执行官袁征(Eric Yuan)说,公司将调查为何对话内容会传至中共国,但他强调这些数据是受到保护的。由于“公民实验室” 没有将调查结果发送给Zoom,并称尽快将资讯公布,以符合公众利益,视频会议公司是不会知道这些发现的。但是袁保证,如果用户并没有在中共国的情况下,使用者的数据就被传到中共国,我们愿意解决这个问题。

Marczak告诉《福布斯》,任何使用政府专用的Zoom应用程式(未经其团队研究)的美国机构,都应该“仔细看一下”他们的对话是否已经向中国传输。他补充说,对于其他许多用户来说,Zoom仍然是一个有用的工具。

他说:“对美国政府机构来说,根据我们的调查结果,应确保负责审查Zoom Gov 应用程式的美国政府人员,仔细检查它的安全属性,是否满足美国政府实体使用该应用程式的方式。”对其他所有人:如果你正在用Zoom和你的伙伴聊天、喝酒,就像你在酒吧那样,那么保持冷静,请继续使用吧。

Zoom与中国的联系

Zoom与中共国有很多联系。总裁袁先生出生于山东省,并在那里上了大学,而他在90年代来到美国,现在住在加州。

Zoom的大部分研发活动都在中共国进行。该公司已在SEC(美国证券交易委员会)档案中公开了此事。根据SEC的档案,去年,该公司一直在中共国扩张,从500名员工增加到700名。公民实验室的研究人员进一步挖掘,并发现了Zoom所拥有的少数几个公司,在以Ruanshi Software(软视软件)为名义进行营运。

当公民实验室,查看他们在美国和加拿大进行的Zoom对话的路由位置时,研究人员发现加密密钥有时会发送到北京,尽管其他国家的伺服器也会处理。根据其提交给SEC的档案,Zoom不仅通过中国发送数据,它还在澳大利亚,巴西,加拿大,德国,印度,日本,荷兰和美国,设有13个数据中心,但在发送数据的问题尤其是加密问题上,,市民实验室指出,对中共国而言,“Zoom可能有法律义务向中国当局披露这些钥匙。”

ZOOM在苏州的办公室

并不是说Zoom并未感觉到对其与中共国的联系的担忧。根据美国证券交易委员会(SEC)最近的一份档案:“我们在中共国拥有大量研发人员,这可能引起对我们有关解决方案完整性,或数据安全功能的市场严格审查。”中国电信业巨头华为,在美国正面临着如此严格审查,以至于它被禁止与任何美国政府组织合作,并且其智能手机在美国的销量已明显下降。

Zoom在本周的一篇博客文章中表示,该公司从未建立过一种机制来破解实时会议,以达到合法拦截的目的。我们也没有办法在不反映出席者名单的情况下,将我们的员工或其他人加入会议。但Zoom公司尚未发布一份透明报告,说明它是如何回应政府要求的。其他网路巨头,如谷歌、微软和脸书,都在向不同的权威机构提供资讯时,皆(向政府)披露相关资讯。

Zoom的密钥是什么?

正如《拦截》杂志所发现的那样,Zoom已经被迫为其提供端到端加密服务的误导性声明道歉。

使用端到端加密,锁定和打开使用者数据的数位密钥,只应生成并存储在使用者的电脑或智慧型手机上。在Zoom的系统中,它自己的伺服器会产生密钥,因此可以接入它们(会议),这意味着每个通话的音讯和视频都没有得到真正的保护。

Marczak和Scott-Railton还发现,Zoom使用较弱的加密演算法—AES-128,而不是AES-256来创建那些独有的密钥。他们发现,这些密钥是在所谓的电子密码本(ECB)模式下共用的。当电子密码本模式下开启时,就可以从本应受保护的数据中收集资讯,而无需破解密钥。 woodward(伍德沃德)教授指出,是给密码分析师的礼物。 Woodward和Marczak也指出,目前还不清楚Zoom是如何生成密钥的,以及它的方法是否安全。

加密数据去了哪里?

但至关重要的是,只有具有Zoom会议密码的使用者,才能获得该密钥,并且破解AES-128密钥的难度仍然非常高。鉴于每次新会话都会更改密钥,因此在几乎所有情况下,及时破解密钥都是不可行的。

Marczak表示,Zoom至少似乎正在致力于解决其安全问题。袁在本周的博客中说,Zoom暂停了所有功能的开发,以便专注于隐私和安全性。研究人员说:“Zoom最近自愿承认,他们实际上并未使用端到端加密,并致力于在其应用程式中改善安全性和隐私性,这一事实是令人鼓舞的。”

他指出,归根结底,任何进行敏感对话的人,都应该考虑Zoom是否合适。 Marczak说,在我使用Zoom传达机密资讯、商业秘密或机密医疗数据之前,我会非常认真地考虑。如果你是一名人权捍卫者、律师、记者,或者任何你认为某个国家,或其他强大对手可能感兴趣的敏感话题的工作人员,我建议等Zoom公司在安全方面做出改进之后,你再使用它的应用程式。

而且,与任何Zoom聊天一样,明智的做法是添加一个密码,以防止“Zoom bombers”破坏你自我隔离的乐趣。

英文原文链接

编辑:【喜马拉雅战鹰团】

1+
3 评论
Inline Feedbacks
View all comments
trackback
1 年 之前

… [Trackback]

[…] Info on that Topic: gnews.org/zh-hans/163982/ […]

0
trackback
1 年 之前

… [Trackback]

[…] Info to that Topic: gnews.org/zh-hans/163982/ […]

0
trackback
1 年 之前

… [Trackback]

[…] Read More Info here on that Topic: gnews.org/zh-hans/163982/ […]

0

热门文章