Zoom gần đây đã trở thành một nền tảng hội nghị video (xin lỗi Skype Và Hangouts) khi nhiều người hiện đang làm việc từ xa trong khi thực hành tự cách ly trong khi giảm thiểu coronavirus. Tuy nhiên, Zoom cũng đã bị sa lầy trong một số vấn đề bảo mật đáng lo ngại trong vài ngày qua. Mặc dù công ty đảm bảo với người dùng rằng nền tảng này an toàn, nhưng có một số sai sót do quản lý dữ liệu người dùng kém, điều này có thể tiết lộ thông tin cá nhân của người dùng. Ngoài ra, Zoom dường như chỉ ra rằng nó cung cấp mã hóa toàn diện cho mọi thứ, nhưng trên thực tế, chỉ có các cuộc hội thoại văn bản được mã hóa từ đầu đến cuối trên nền tảng của nó.
Phóng to tào lao, bi kịch của người dùng
Nhiều người dùng đã chỉ ra rằng họ có thể thấy địa chỉ email ngẫu nhiên của người dân và thậm chí ảnh của họ trong hồ sơ Thu phóng của họ. Tiếp xúc địa chỉ email với người lạ là một lời mời mở để gửi thư rác trong hộp thư đến của bạn, nhưng có một khía cạnh đáng lo ngại hơn ở đây. Người ta thực sự có thể bắt đầu một cuộc gọi video với một người ngẫu nhiên có hồ sơ xuất hiện trong danh bạ của họ mà không thực sự biết điều đó. Làm thế nào điều này xảy ra?
zoom_us Tôi vừa xem phiên bản miễn phí sử dụng Zoom đặc biệt và đã đăng ký trong email riêng tư của mình. Bây giờ tôi có 1.000 tên, địa chỉ email và thậm chí cả hình ảnh của mọi người trong thư mục công ty. Đây có phải là cố ý? #GDPR pic.twitter.com/bw5xZIGtSE
– Jeron JFLBon (JJVLebon) ngày 23 tháng 3 năm 2020
Zoom thực sự duy trì một cái gì đó gọi là "Danh mục công ty" trong đó tất cả các địa chỉ email có cùng tên miền (ngoại trừ các địa chỉ chung như Gmail và Yahoo) được liệt kê cùng nhau. Zoom dường như nhận thức được tên miền tương tự kết thúc giống như những người làm việc trong cùng một công ty, nhưng phương pháp này dường như có nhược điểm riêng. Nếu địa chỉ email của bạn được thêm vào "thư mục công ty", nghĩ rằng bạn là đồng nghiệp của hàng trăm người khác, những người lạ ngẫu nhiên có thể xem ảnh của bạn và thậm chí gọi cho bạn.
Đây là một ảnh chụp màn hình của vấn đề. Người dùng này đã đăng ký một địa chỉ email cá nhân, nhưng Zoom tự động thêm bất kỳ ai khác sử dụng cùng một dịch vụ email như một trong những người liên hệ của mình
"Tất cả những người tôi không biết tất nhiên," người dùng nói. https://t.co/VooUc2b7xF pic.twitter.com/JjSeXzjuSR
– Joseph Cox (josephfcox) ngày 31 tháng 3 năm 2020
Khi Zoom được thông báo về vấn đề này, công ty đã đưa vào danh sách đen các tên miền này. "Zoom duy trì một danh sách đen các tên miền và chủ động xác định các trường được thêm vào. Về các tên miền cụ thể mà bạn đã đánh dấu trong ghi chú của bạn, hiện tại nó đã bị liệt vào danh sách đen", một phát ngôn viên của Zoom được trích dẫn như nói. Ngoài ra, nếu địa chỉ email của bạn cũng bị xâm phạm do Danh sách sai trong thư mục Thu phóng, bạn thực sự có thể yêu cầu Thu phóng để xóa nó. Zoom cho biết trên trang web của mình rằng chủ sở hữu hoặc quản trị viên có thể chọn tắt tính năng bao gồm thư mục.
Không, Phóng to các cuộc gọi video không được mã hóa đầu cuối
Giải pháp Kỹ thuật Thu phóng và An toàn cung cấp mã hóa đầu cuối và kiểm soát truy cập cuộc họp để dữ liệu không thể bị chặn trong quá trình chuyển, Chuyên gia Zoom Zoom nói trên trang web của mình. Tuyên bố này khiến người ta nghĩ rằng các cuộc gọi Zoom được mã hóa nối đầu, nhưng thực tế không phải vậy. Hiện tại, mã hóa E2E không thể được bật cho các cuộc họp video Thu phóng.
Cuộc họp thu phóng video sử dụng kết hợp TCP và UDP. Các kết nối TCP được truyền bằng cách sử dụng kết nối được mã hóa TLS và UDP bằng AES bằng khóa được đàm phán thông qua kết nối TLS, "Intercept trích dẫn một phát ngôn viên của Zoom. Nội dung duy nhất được mã hóa từ đầu đến cuối trong Zoom là văn bản trong các cuộc trò chuyện.
Điều này có nghĩa là Zoom có thể truy cập nội dung âm thanh và video không được mã hóa cho các cuộc họp của người dùng. Đây không phải là một định nghĩa về mã hóa đầu cuối. Mã hóa hoàn toàn là khi nội dung của một cuộc trò chuyện văn bản hoặc đa phương tiện được người gửi và người nhận truy cập và giải mã bởi vì họ có các khóa giải mã chứ không phải chính nhà cung cấp dịch vụ.
Đây là những gì xảy ra khi bạn sử dụng các ứng dụng như Signal và WhatsApp, nhưng đây không phải là trường hợp với Zoom. Nói chung, bên thứ ba không thể nghe lén video Zoom hoặc trò chuyện thoại, nhưng bản thân công ty có thể truy cập nội dung. Tất nhiên, Zoom tuyên bố tuân thủ các tiêu chuẩn bảo mật hiện hành, nhưng cách Zoom phác thảo khía cạnh bảo mật của nền tảng trên trang web của nó có phần sai lệch.
