Νέα μέρα, νέο πρόβλημα ιδιωτικού απορρήτου για τη δημοφιλή εφαρμογή Zoom. Χθες το βράδυ, το The Intercept δημοσίευσε μια έκθεση που τονίζει ότι ο ισχυρισμός της εφαρμογής Zoom ότι έχει κρυπτογράφηση από άκρο σε άκρο (end-to-end) για τις συνεδρίες του δεν είναι αλήθεια.
Η εταιρεία τηλεδιάσκεψης μπορεί να υπερηφανεύεται για την end-to-end κρυπτογράφηση στον ιστότοπό της, αλλά η δημοσίευση της Intercept αποδεικνύει ότι η υπηρεσία χρησιμοποιεί κρυπτογράφηση μόνο στην μεταφορά δεδομένων.
Η κρυπτογράφηση μεταφοράς είναι ένα πρωτόκολλο ασφάλειας μετασχηματισμού (Transport Layer Security ή απλά TLS), το οποίο εξασφαλίζει τη σύνδεση μεταξύ του υπολογιστή σας και του διακομιστή στον οποίο είστε συνδεδεμένοι. Αυτή η ίδια κρυπτογράφηση χρησιμοποιείται και στις ασφαλείς συνδέσεις μεταξύ οποιουδήποτε ιστότοπου με πρωτόκολλο HTTPS και του browser σας.
Η βασική διαφορά μεταξύ της κρυπτογράφησης μεταφοράς και της end-to-end κρυπτογράφησης είναι ότι η εφαρμογή Zoom (ή ο διακομιστής με τον οποίο είστε συνδεδεμένοι) μπορεί να δει τα δεδομένα σας.
Σε ένα σχόλιο που υπάρχει στην The Intercept, η εταιρεία ανάπτυξης της εφαρμογής Zoom επιβεβαίωσε ότι η υπηρεσία δεν παρέχει κρυπτογράφηση end-to-end προς το παρόν:
Επί του παρόντος, δεν είναι δυνατή η ενεργοποίηση της κρυπτογράφησης E2E για συνεδρίες βίντεο με Zoom. Οι ζωντανές συσκέψεις βίντεο χρησιμοποιούν ένα συνδυασμό TCP και UDP. Οι συνδέσεις TCP πραγματοποιούνται χρησιμοποιώντας συνδέσεις TLS και UDP που κρυπτογραφούνται με AES χρησιμοποιώντας ένα κλειδί που διαπραγματεύεται μέσω μιας σύνδεσης TLS.
Η εταιρεία διευκρίνισε ότι η αναφορά “end-to-end” που χρησιμοποιεί αναφέρεται στα endpoints της Zoom στον Zoom server δηλαδή, ο οποίος βρίσκεται μεταξύ των πελατών. Έτσι, μπορεί να ελέγξει τεχνικά τα δεδομένα σας, ενώ η εταιρεία αρνείται ότι μπορεί να έχει πρόσβαση σε δεδομένα του τελικού χρήστη ή ότι πουλά δεδομένα σε τρίτους. Θα ήταν πολύ πιο έντιμο φυσικά να αναφέρουν σαφώς τα πρότυπα κρυπτογράφησης που χρησιμοποιούν.
Δεν είναι η πρώτη φορά που οι πολιτικές της Zoom έχουν προκαλέσει αντιδράσεις. Μια δημοσίευση της Bleeping Computer που δημοσιεύθηκε σήμερα αναφέρει ότι hackers μπορούν να κλέψουν κωδικούς πρόσβασης των χρηστών μέσω του εφαρμογής για Windows.
Την περασμένη εβδομάδα διαπιστώθηκε ότι η εφαρμογή iOS της υπηρεσίας στέλνει δεδομένα στο Facebook χωρίς την ρητή συγκατάθεση του χρήστη.
Η εταιρεία αμέσως μετά την αποκάλυψη, αφαίρεσε τον κώδικα που έστελνε δεδομένα στο κοινωνικό δίκτυο. Τον περασμένο μήνα, το μη κερδοσκοπικό ίδρυμα Electronic Frontier Foundation (EFF) ανέφερε ότι η χρήση των προϊόντων της Zoom μπορεί να έχει σοβαρές επιπτώσεις στο ιδιωτικό σας απόρρητο.
Χθες, ο Tor browser πρότεινε να αποφύγετε την εφαρμογή Zoom και να χρησιμοποιήσετε μια εφαρμογή ανοιχτού κώδικα που ονομάζεται Jitsi Meet.
