Η Citizen Lab, μια ερευνητική ομάδα από το Πανεπιστήμιο του Τορόντο, μπόρεσε να δει τι συμβαίνει πίσω από την κρυπτογράφηση που χρησιμοποιείται από την εφαρμογή Zoom.
Σε μια δημοσίευση της ομάδας, αναφέρεται ότι η πλατφόρμα δεν είναι κατάλληλη για την ανταλλαγή μυστικών, ούτε για κυβερνητικές ή επιχειρηματικές χρήσεις. Η Citizen Lab διαπίστωσε ότι η εφαρμογή Zoom χρησιμοποιεί ένα δικό της πρόγραμμα κρυπτογράφησης σαν μια προσαρμοσμένη επέκταση στο πρωτόκολλο μεταφοράς σε πραγματικό χρόνο.
Περαιτέρω, αντί να χρησιμοποιεί την κρυπτογράφηση AES-256, οι ερευνητές διαπίστωσαν ότι η εφαρμογή χρησιμοποιεί ένα κλειδί AES-128 σε λειτουργία electronic code book (ECB).
“Η κρυπτογράφηση και η αποκρυπτογράφηση που χρησιμοποιεί η Zoom είναι AES σε λειτουργία ΕΚΤ, κάτι το οποίο είναι μια πολύ κακή ιδέα, επειδή αυτός ο τρόπος κρυπτογράφησης διατηρεί τα πρότυπα δεδομένα. Τα πρότυπα βιομηχανικής κρυπτογράφησης μέσων συνεχούς ροής (streaming) απαιτούν την χρήση του AES σε Segmented Integer Counter Mode ή f8-mode, οι οποίες δεν έχουν την ίδια αδυναμία με τη λειτουργία της ECB”, αναφέρει η ομάδα Citizen Lab.
Η ερευνητική ομάδα δήλωσε επίσης ότι ανακάλυψε και ένα “σοβαρό ζήτημα ασφάλειας” στη λειτουργία waiting room της εφαρμογής και ότι το αποκάλυψε στην εταιρεία. Οι ερευνητές ανέφεραν ότι θα δώσουν παραπάνω πληροφορίες κάποια στιγμή, αλλά μέχρι τότε προτείνουν στους χρήστες της εφαρμογής να μην χρησιμοποιούν την συγκεκριμένη λειτουργία, και να χρησιμοποιούν κωδικούς πρόσβασης για τις συναντήσεις τους.
Αυτή η ευπάθεια είναι ιδιαίτερα σημαντική καθώς απρόσκλητοι χρήστες μπορούν να εισέλθουν σε μια συνάντηση και να αποστέλλουν ενοχλητικό περιεχόμενο.
Με μια άμεση απάντηση στην προειδοποίηση της Citizen Lab, ο Διευθύνων Σύμβουλος της Zoom Eric Yuan παραδέχθηκε ότι η κρυπτογράφηση της εταιρείας ήταν υποβαθμισμένη.
“Γνωρίζουμε ότι μπορούμε να κάνουμε καλύτερα πράγματα με το σχεδιασμό της κρυπτογράφησης. Λόγω των μοναδικών αναγκών της πλατφόρμας μας, στόχος μας είναι να χρησιμοποιήσουμε τις βέλτιστες πρακτικές κρυπτογράφησης για την παροχή της μέγιστης ασφάλειας, καλύπτοντας παράλληλα το μεγάλο φάσμα των περιπτώσεων χρήσης που υποστηρίζουμε” είπε.
“Συνεργαζόμαστε με εξωτερικούς εμπειρογνώμονες και θα ζητήσουμε επίσης την ανατροφοδότηση από την κοινότητά μας για να διασφαλίσουμε ότι είναι η πλατφόρμα μας βελτιστοποιήθηκε”.
Την περασμένη εβδομάδα, η Zoom ανέφερε ότι χρειάζεται 90 ημέρες για να βελτιώσει την ασφάλεια των προϊόντων της, μετά από μια σειρά καταγγελιών που δέχτηκε.
Η Citizen Lab ανακάλυψε επίσης ότι η εφαρμογή χρησιμοποιούσε κλειδιά κρυπτογράφησης από διακομιστές στην Κίνα σε συμμετέχοντες εκτός Κίνας.
“Μια εταιρεία που χρησιμοποιείται κυρίως από πελάτες της Βόρειας Αμερικής που μερικές φορές διανέμει κλειδιά κρυπτογράφησης μέσω διακομιστών στην Κίνα είναι ένα πιθανό σφάλμα, καθώς η Zoom μπορεί να υποχρεωθεί νομικά να αποκαλύψει αυτά τα κλειδιά στις αρχές της Κίνας”, αναφέρει η έκθεση.
Φυσικά ο Yuan ανέφερε ότι η εταιρεία θα διορθώσει και αυτό το θέμα.