Zoom承认其自定义通讯加密存在缺陷

近日，多伦多大学的一个研究小组Citizen Lab表示视频会议应用Zoom使用的加密技术存在不小的问题。

在一份报告中，该小组称该视频平台不适合分享秘密信息，也不适合政府或企业使用，Citizen Lab发现Zoom一直在推行自己的加密方案，作为实时传输协议的自定义扩展的一部分。

此外，与Zoom声称的使用AES-256加密不同的是，该报告发现该应用使用的是ECB模式下的AES-128密钥。

Citizen Lab表示，Zoom的加解密使用的是ECB模式下的AES，大家都知道这不是个好主意，因为这种加密模式会保留输入的模式。流媒体加密的行业标准协议（例如SRTP标准）建议在分段模式或f8模式下使用AES，这可以有效消除弱点。

该研究小组还认为，他们发现该应用的等待室功能存在“严重的安全问题”，并已向该公司披露了这一情况。不过，除了建议用户避免使用有问题得功能，该公司还表示将提供有关该漏洞的进一步细节。

而这一漏洞尤其重要，因为该平台目前正受到大量Zoom-bombing实例的攻击，很多不请自来的人进入了Zoom会议，展示非法的内容或行为。尽管存在安全问题，但各种建议都提供了等待室功能作为解决方案。

Zoom公司首席执行官Eric Yuan直接回复Citizen Lab，承认公司的加密技术不合格。

“我们认识到可以在加密设计方面做得更好。由于我们平台的独特需求，利用加密的最佳做法来提供最大的安全性是非常必要的，我们所支持的所有客户都应该如此。”

“我们正在与外部专家合作，并将征求社区的反馈，以确保加密算法适合我们的平台。”

Zoom上周表示，在一系列安全漏洞被曝光后，该公司将花费90天时间来提高产品的安全性。随着越来越多的人因为冠状病毒席卷全球而使用Zoom，这些漏洞也吸引了越来越多的人的目光。

Citizen Lab还发现，该应用会通过中国服务器将加密密钥提供给来自中国境外的参与者。

一家主要面向北美客户的公司有时会通过中国服务器分发加密密钥，这可能存在一些隐患。

Zoom则表示，这是一时疏忽，该公司最近决定扩大其数据中心的规模，以满足安全需求。

“今年2月，Zoom中国地区的需求大幅增长，为此对应的资源支持也需增加。”

“在匆忙中，我们错误地将我们的两个中国数据中心添加到一个冗长的备份网桥白名单中，这可能使非中国客户在极其有限的情况下连接到中国服务器（即当主要的非中国服务器不可用时）。”

Yuan表示，该公司在得知此事后，已经修正了白名单。

该公司此前还因其产品使用误导性宣传而陷入困境。

据报道，上周末，纽约市宣布禁用该应用。

路透社上周末报道称，纽约州和康涅狄格州总检察长已就该公司的安全措施进行了调查。

去年，该公司被发现在Mac应用上使用了本地web服务器，其中存在远程代码执行漏洞。

第二天，Zoom公司表示，这个功能是为了提升用户的体验，他们已准备好补丁关闭本地web服务器。

该公司当时还表示：“从来不存在远程代码执行漏洞。”

“Zoom是根据安全社区和我们用户的反馈，才决定移除web服务器。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.zdnet.com/article/zoom-concedes-custom-encryption-is-sub-standard-as-citizen-lab-pokes-holes-in-it/