Jak Zoom wprowadza klientów w błąd
Twórcy coraz bardziej popularnej usługi wideokonferencji twierdzą, że stosują szyfrowanie end-to-end. Rzeczywistość wygląda jednak trochę inaczej.
Okazuje się, że Zoom stosuje własną definicję szyfrowania, trzeba się więc liczyć z tym, że platforma może mieć dostęp do niezaszyfrowanych odpowiednio połączeń wideo i audio z „poufnych" telekonferencji.
W obecnych czasach znacznie wzrosło znaczenie internetowych kanałów komunikacji. Jednym z nich jest platforma Zoom, za pomocą której wiele firm organizuje wideokonferencje. Zachęca ona do korzystania ze swoich usług, deklarując, że zapewnia maksymalną poufność end-to-end.
Tymczasem, jak odkryli dziennikarze „The Intercept", marketing platformy wprowadza użytkowników w błąd. Owszem, przy zachowaniu pewnych zasad połączenia wideo i audio są szyfrowane, ale nie w takim stopniu, jak obiecuje reklama. Zapytany o tę kwestię rzecznik Zooma napisał: „Obecnie nie jest możliwe włączenie szyfrowania end-to-end dla spotkań wideo Zoom". W dalszej części stwierdził, że takie szyfrowanie następuje pomiędzy serwerami jako punktami końcowymi, nie odnosi się wiec do wszystkich rzeczywistych połączeń zestawionych od klienta do klienta.
Aby spotkanie na platformie Zoom było zaszyfrowane end-to-end, treści wideo i audio musiałyby zostać przekazane w taki sposób, aby tylko uczestnicy spotkania mogli je odszyfrować. Sama usługa Zoom może mieć dostęp do tajnej treści spotkania, ale nie posiadałaby kluczy szyfrowania wymaganych do jej odczytania (dysponowaliby nimi tylko uczestnicy spotkania) – podobnie jak to działa w innych aplikacjach do przesyłania danych.
Matthew Green, kryptograf i profesor informatyki na Johns Hopkins University, zauważa, że grupowe wideokonferencje są trudne do zaszyfrowania end-to-end. Wynika to z faktu, że dostawca usług musi wykryć, kto mówi, aby zachowywać się jak centrala telefoniczna, co pozwala mu wysyłać strumień wideo w wysokiej rozdzielczości tylko od osoby, która w danym momencie zwraca się do reszty grupy. Ten rodzaj optymalizacji jest znacznie łatwiejszy, jeśli usługodawca widzi wszystko, ale wtedy połączenie nie może być zaszyfrowane.
Jedyną więc funkcją Zoom, która wydaje się całkowicie bezpieczna, jest czat tekstowy.
