Zoom ha dovuto affrontare una serie di critiche questa settimana sulle sue politiche di sicurezza e pratiche sulla privacy, poiché centinaia di milioni di persone sono costrette a lavorare da casa durante la pandemia di coronavirus e stanno comunicando tra di loro attraverso la piattaforma di video conferenza.
Le ultime scoperte sono arrivate oggi quando i ricercatori del Citizen Lab hanno affermato che alcune chiamate effettuate in Nord America sono state instradate attraverso la Cina, così come le chiavi di crittografia utilizzate per proteggere quelle chiamate. Come è stato notato questa settimana, Zoom non utilizza affatto la crittografato end-to-end, nonostante le precedenti affermazioni dell’azienda, il che significa che Zoom controlla le chiavi di crittografia e può quindi accedere ai contenuti delle chiamate dei suoi clienti. Zoom ha affermato in un precedente post sul blog di aver “implementato controlli interni solidi e validati per impedire l’accesso non autorizzato a qualsiasi contenuto condiviso dagli utenti durante le riunioni”. Lo stesso non si può dire per le autorità cinesi, che potrebbero richiedere a Zoom di consegnare qualsiasi chiave di crittografia sui suoi server in Cina per facilitare la decodifica del contenuto delle chiamate crittografate.
Zoom ora afferma che durante i suoi sforzi per aumentare la capacità del suo server per far fronte al massiccio afflusso di utenti nelle ultime settimane, ha “erroneamente” consentito a due dei suoi data center cinesi di accettare chiamate come backup in caso di congestione della rete.
Dal CEO Eric Yuan di Zoom:
Durante le normali operazioni, i client Zoom tentano di connettersi a una serie di data center primari nella o vicino alla regione di un utente e se questi tentativi di connessione multipli falliscono a causa di congestione della rete o altri problemi, i client raggiungeranno due data center secondari fuori da un elenco di diversi data center secondari come potenziale ponte di backup sulla piattaforma Zoom. In tutti i casi, ai client Zoom viene fornito un elenco di data center adeguati alla propria area geografica. Questo sistema è fondamentale per l’affidabilità del marchio Zoom, in particolare durante i periodi di forte stress su Internet”.
In altre parole, le chiamate nordamericane dovrebbero rimanere in Nord America, proprio come le chiamate europee dovrebbero rimanere in Europa. Questo è ciò che Zoom chiama il suo data center “geofencing“. Ma quando i picchi di traffico, la rete sposta il traffico verso il data center più vicino con la capacità più disponibile.
La Cina, tuttavia, dovrebbe essere un’eccezione, in gran parte a causa di problemi di privacy tra le aziende occidentali. Ma le leggi e i regolamenti della Cina impongono alle aziende che operano sulla terraferma di mantenere i dati dei cittadini all’interno dei propri confini.
Zoom ha affermato che il fatto è accaduto in “circostanze estremamente limitate“. Una volta raggiunto, un portavoce di Zoom non ha quantificato il numero di utenti interessati. La società ha però affermato che gli utenti del piano governativo dedicato della società non sono stati interessati dal reinstradamento accidentale.
Ma rimangono alcune domande. Il post sul blog affronta solo brevemente il suo design di crittografia. Citizen Lab ha criticato la società per aver “crittografato” la propria crittografia, altrimenti nota come creazione di un proprio schema di crittografia. Gli esperti hanno da tempo respinto gli sforzi delle aziende per costruire la propria crittografia, perché non è soggetta allo stesso controllo e revisione paritaria degli standard di crittografia decennali che tutti noi usiamo oggi.
A sua difesa, Zoom ha affermato di poter “fare di meglio” nel suo schema di crittografia, che copre una “vasta gamma di casi d’uso“. Zoom ha anche detto che si stava consultando con esperti esterni, ma quando gli è stato chiesto, un portavoce ha rifiutato di nominarne uno.
Bill Marczak, uno dei ricercatori del Citizen Lab che ha scritto il rapporto di oggi, ha dichiarato a TechCrunch di essere “cautamente ottimista” sulla risposta di Zoom.
Marczak afferma: “Il problema più grande qui è che Zoom ha apparentemente scritto il proprio schema per crittografare e proteggere le chiamate”, ha detto, e che “ci sono server Zoom a Pechino che hanno accesso alle chiavi di crittografia della riunione. Se sei un’entità dotata di risorse adeguate, ottenere una copia del traffico Internet contenente alcune chiamate Zoom crittografate di valore particolarmente elevato non è forse così difficile”.
Marczak continua: “L’enorme passaggio a piattaforme di videoconferenza durante la pandemia di COVID-19 rende piattaforme come Zoom obiettivi interessanti per molti diversi tipi di agenzie di intelligence, non solo per la Cina. Fortunatamente, la società ha (finora) colto tutte le note giuste nel rispondere a questa nuova ondata di controllo da parte dei ricercatori sulla sicurezza e si è impegnata a migliorare la propria app“.
Il post sul blog di Zoom ottiene punti per la trasparenza. Ma la società sta ancora affrontando le pressioni del procuratore generale di New York e di due cause legali. Proprio oggi, diversi legislatori hanno chiesto di sapere cosa sta facendo per proteggere la privacy degli utenti.
I mea culpa di Zoom saranno sufficienti?