Zoom、他のセキュリティ問題の中で「エンドツーエンド暗号化」の主張でユーザーを誤解させたと非難 [更新]

ビデオ会議アプリの暗号化に関する主張が誤解を招くとの報道を受け、Zoomは本日、新たな厳しい監視にさらされている。

Zoom は Web サイト と セキュリティ ホワイト ペーパー で、アプリがエンドツーエンドの暗号化をサポートしていると述べています。エンドツーエンドの暗号化とは、企業がコンテンツにアクセスできないようにユーザー コンテンツを保護する方法を指します。

しかし、 The Intercept の調査により、Zoom が TLS 暗号化を使用してビデオ通話を保護していることが明らかになりました。TLS 暗号化は、Web サーバーが HTTPS Web サイトを保護するために使用するのと同じ技術です。

これはトランスポート暗号化として知られており、Zoom サービス自体が Zoom ミーティングの暗号化されていないビデオおよびオーディオ コンテンツにアクセスできるため、エンドツーエンドの暗号化とは異なります。そのため、Zoom 会議を行うとき、ビデオと音声のコンテンツは Wi-Fi を覗き見する誰からも非公開のままになりますが、会社からは非公開のままではありません。

レポートが明らかにしているように、Zoom ミーティングをエンドツーエンドで暗号化するには、ミーティングの参加者だけがローカル暗号化を使用して通話を復号できるようにする方法で通話を暗号化する必要があります。キー。しかし、このサービスが提供するのはそのレベルのセキュリティではありません。

The Intercept がこの調査結果についてコメントするよう求めたところ、Zoomの広報担当者は同社がユーザーを誤解させていると否定した。

「他の文献で『エンドツーエンド』というフレーズを使用する場合、それは Zoom エンドポイントから Zoom エンドポイントへの接続が暗号化されることを指します。コンテンツは Zoom クラウド全体で転送される際に復号化されません。」

技術的には、Zoom の会議中のテキスト チャットは、実際にエンドツーエンドで暗号化されている Zoom の唯一の機能のようです。しかし理論的には、このサービスはプライベートなビデオ会議を監視し、法的要請に応じて会議の記録を政府や法執行機関に引き渡さざるを得なくなる可能性がある。

Zoomは The Intercept に対し、サービスを改善するために必要なユーザーデータのみを収集しており、これにはIPアドレス、OSの詳細、デバイスの詳細が含まれるが、従業員が会議のコンテンツにアクセスすることは許可されていないと語った。

先週、Zoomが顧客に事実を開示せずにFacebookにデータを送信していたことが明らかになり、同社のデータ共有慣行が批判された。その後同社はアプリを アップデートして 、Facebook ログイン機能を削除し、データへのアクセスを防止した。

最新情報: TechCrunch が指摘したように、セキュリティ研究者の Patrick Wardle 氏は、Zoom に影響を与えるこれまで未公開だった 2 つのゼロデイ脆弱性を明らかにしました。