警告: ZOOM正在向中國發送密鑰

【中英對照翻譯】https://spark.adobe.com/page/oiLFlnSmAzYVo/

作者 / Author: Thomas Brewster

翻譯/簡評: freedust

PR:TCC幸福

校對:Julia Win

簡評:

我們處於一個資訊爆炸的大數據時代,資訊安全,應該是我們關注的基本安全之一,而Zoom向中共發送密鑰,將對全球的資訊安全造成巨大威脅!密鑰,是通過多數位隨機數加密碼等方式,對數據進行加密的一種參數。理論上,如果在沒有掌握密鑰的情況下,除非通過超級計算,一般是無法破解高數位密鑰加密的。但是,如果在對方擁有你密鑰的情況下,基本上可以視為,近乎同時的獲得跟你一樣的資訊內容,你所說所做,參加的會議,一切都不再有私密性。 在這個資訊引領很多領域的時代,大到金融、軍事、集團公司決策,小到個人隱私、習慣偏好、消費習慣等,無論你在哪裡,無一不跟數據和數據的傳輸相關。 如果Zoom是邪惡中共培植的公司,那就意味著,中共可以在第一時間,掌握世界上所有使用Zoom軟體的團體和個人的資訊,從而做出對自己有利的決定。這無疑對全球安全構成了絕對大的威脅。

我們應該非常審慎地對待Zoom關於安全的任何承諾,安排獨立機構對其進行全面徹底的調查。如果發現它與邪惡中共有任何勾兌,應在第一時間採取措施,並修改以往安全方案。 因此呼籲,各方對此應引起足夠重視!數據安全已成為國家安全的重要組成部分,也代表著司法主權等,已相當於國家的第一主權。

警告:Zoom正在向中國發送密鑰

據研究人員稱,在這個 “在家工作的冠狀病毒時代’”廣受歡迎的視頻會議巨頭Zoom,將用戶數據發送到中共國。 學者是在他們的軟件測試中發現的,即便用戶不在中共國使用該軟件,他們的咨訊,也會將解鎖對話的數據塊的加密密鑰,發送至中共國。

這項研究於週五《福布斯》發佈之前就提交了,在此之前的一周對於Zoom來說是艱難的。 因為它必須為隱私和安全方面的各種缺陷表示歉意。 該報告的作者比爾·瑪律紮克(Bill Marczak),和位於多倫多大學市民實驗室(Citizen Lab)的約翰·斯科特·拉爾頓(John Scott-Railton)說,他們發現並提出了有關美國的政府組織,是否應該使用它的執疑。

研究者監視了ZOOM的操作程序

昨天,《福布斯》(Forbes)透露,處理冠狀病毒反應的美國機構,在3月底的短短幾天內,就在Zoom技術上花費了130萬美元。 不僅疾病預防控制中心(CDC)和聯邦緊急事務管理局(FEMA),在Zoom上花費了數十萬美元,來進行與COVID-19相關的網路研討會和電話會議,而且其他政府機構,也紛紛接受了該技術。 其中包括國務院和一個據稱是,中國重大駭客事件的受害者的人事管理辦公室,該事件導致2100萬美國人的私人數據洩露。英國政府也是該工具的知名用戶,通過Zoom主持了重要的內閣會議。

這項研究似乎提出了很多問題,Zoom確實需要詳細回答這些問題,而不是含糊的承諾或否認。 薩里大學(University of Surrey)密碼學專家艾倫·伍德沃德(Alan Woodward)教授說,如果你想讓人們信任你的產品,就要做到透明化。

關注Zoom:看它如何突破在家的限制和審查
ZOOM與2019年在Nasdaq上市

Zoom沒有回復記者的置評請求。 但在上週五發表於《福布斯》(Forbes)雜誌上的一篇採訪中,該公司首席執行官袁徵(Eric Yuan)說,公司將調查為何對話內容會傳至中共國,但他強調這些數據是受到保護的。 由於 “公民實驗室” 沒有將調查結果發送給Zoom,並稱儘快將資訊公佈,以符合公眾利益,視頻會議公司是不會知道這些發現的。 但是袁保證,如果用戶並沒有在中共國的情況下,使用者的數據就被傳到中共國,我們願意解決這個問題。

Marczak告訴《福布斯》,任何使用政府專用的Zoom應用程式(未經其團隊研究)的美國機構,都應該“仔細看一下”他們的對話是否已經向中國傳輸。 他補充說,對於其他許多用戶來說,Zoom仍然是一個有用的工具。

他說:“對美國政府機構來說,根據我們的調查結果,應確保負責審查Zoom Gov 應用程式的美國政府人員,仔細檢查它的安全屬性,是否滿足美國政府實體使用該應用程式的方式。” 對其他所有人:如果你正在用Zoom和你的夥伴聊天、喝酒,就像你在酒吧那樣,那麼保持冷靜,請繼續使用吧。

Zoom與中國的聯繫

Zoom與中共國有很多聯繫。 總裁袁先生出生於山東省,並在那裡上了大學,而他在90年代來到美國,現在住在加州。

Zoom的大部分研發活動都在中共國進行。該公司已在SEC(美國證券交易委員會)檔案中公開了此事。 根據SEC的檔案,去年,該公司一直在中共國擴張,從500名員工增加到700名。 公民實驗室的研究人員進一步挖掘,並發現了Zoom所擁有的少數幾個公司,在以Ruanshi Software(軟視軟件)為名義進行營運。

當公民實驗室,查看他們在美國和加拿大進行的Zoom對話的路由位置時,研究人員發現加密密鑰有時會發送到北京,儘管其他國家的伺服器也會處理。 根據其提交給SEC的檔案,Zoom不僅通過中國發送數據,它還在澳大利亞,巴西,加拿大,德國,印度,日本,荷蘭和美國,設有13個數據中心,但在發送數據的問題尤其是加密問題上,,市民實驗室指出,對中共國而言,“Zoom可能有法律義務向中國當局披露這些鑰匙。”

ZOOM在蘇州的辦公室

並不是說Zoom並未感覺到對其與中共國的聯繫的擔憂。 根據美國證券交易委員會(SEC)最近的一份檔案:“我們在中共國擁有大量研發人員,這可能引起對我們有關解決方案完整性,或數據安全功能的市場嚴格審查。”中國電信業巨頭華為,在美國正面臨著如此嚴格審查,以至於它被禁止與任何美國政府組織合作,並且其智能手機在美國的銷量已明顯下降。

Zoom在本周的一篇博客文章中表示,該公司從未建立過一種機制來破解實時會議,以達到合法攔截的目的。我們也沒有辦法在不反映出席者名單的情況下,將我們的員工或其他人加入會議。 但Zoom公司尚未發佈一份透明報告,說明它是如何回應政府要求的。 其他網路巨頭,如谷歌、微軟和臉書,都在向不同的權威機構提供資訊時,皆(向政府)披露相關資訊。

Zoom的密鑰是什麼?

正如《攔截》雜誌所發現的那樣,Zoom已經被迫為其提供端到端加密服務的誤導性聲明道歉。

使用端到端加密,鎖定和打開使用者數據的數位密鑰,只應生成並存儲在使用者的電腦或智慧型手機上。 在Zoom的系統中,它自己的伺服器會產生密鑰,因此可以接入它們(會議),這意味著每個通話的音訊和視頻都沒有得到真正的保護。

Marczak和Scott-Railton還發現,Zoom使用較弱的加密演算法—AES-128,而不是AES-256來創建那些獨有的密鑰。 他們發現,這些密鑰是在所謂的電子密碼本(ECB)模式下共用的。 當電子密碼本模式下開啟時,就可以從本應受保護的數據中收集資訊,而無需破解密鑰。 woodward(伍德沃德)教授指出,是給密碼分析師的禮物。 Woodward和Marczak也指出,目前還不清楚Zoom是如何生成密鑰的,以及它的方法是否安全。

加密數據去了哪裏?

但至關重要的是,只有具有Zoom會議密碼的使用者,才能獲得該密鑰,並且破解AES-128密鑰的難度仍然非常高。 鑒於每次新會話都會更改密鑰,因此在幾乎所有情況下,及時破解密鑰都是不可行的。

Marczak表示,Zoom至少似乎正在致力於解決其安全問題。袁在本周的博客中說,Zoom暫停了所有功能的開發,以便專注於隱私和安全性。 研究人員說:“Zoom最近自願承認,他們實際上並未使用端到端加密,並致力於在其應用程式中改善安全性和隱私性,這一事實是令人鼓舞的。”

他指出,歸根結底,任何進行敏感對話的人,都應該考慮Zoom是否合適。 Marczak說,在我使用Zoom傳達機密資訊、商業秘密或機密醫療數據之前,我會非常認真地考慮。 如果你是一名人權捍衛者、律師、記者,或者任何你認為某個國家,或其他強大對手可能感興趣的敏感話題的工作人員,我建議等Zoom公司在安全方面做出改進之後,你再使用它的應用程式。

而且,與任何Zoom聊天一樣,明智的做法是添加一個密碼,以防止「Zoom bombers」破壞你自我隔離的樂趣。

英文原文鏈接

編輯:【喜馬拉雅戰鷹團】

0
2 則留言
Inline Feedbacks
View all comments
trackback

… [Trackback]

[…] Information on that Topic: gnews.org/zh-hant/163940/ […]

0
trackback

… [Trackback]

[…] Info to that Topic: gnews.org/zh-hant/163940/ […]

0

熱門文章