Nem nyújt végponti titkosítást a Zoom, hiába kommunikálja ezt több helyen is mind a cég, mind az alkalmazás – írja a The Intercept.
Ez a gyakorlatban azt jelentené, hogy a beszélgetések
tartalma titkosítva kerül a Zoom szervereire, a cég pedig ezt képtelen
feloldani, mert arra csak a végpontokon, azaz a felhasználóknál van mód. Ami valójában
történik viszont, az nem különbözik a böngészőkből ismerős, mezei HTTPS protokolltól:
a forgalom maga titkosított ugyan (a kíváncsi szomszéd a Wifi jelszavunk
ismeretében sem kukucskálhat bele), a szervereken azonban hozzáférhetők az
adatok.
Ezt a Zoom is elismerte az Interceptnek. A cég álláspontja
szerint egyszerűen mást értenek „end-to-end” titkosítás alatt: tulajdonképpen a
szervereket nevezik végpontoknak, és a köztük folyó kommunikáció az, ami valóban
titkosított. Ugyan a szerverek fizikai értelemben a felhasználók között
helyezkednek el, a végponti titkosítás pedig egy általában használt
szakkifejezés, a Zoom szerint ez teljesen rendben van, különben is, a felhasználók
közti chat még a white paper szerint is valós végponti titkosítást kínál.
Zavaros? Az, bár elsősorban nem technikai, hanem
marketingkérdés, hogy most lehet-e a nem igazán végponti titkosítást végponti
titkosításnak nevezni. Ashkan Soltani független biztonságtechnikai szakértő szerint
azon áll vagy bukik a cég igaza, hogy a felhasználók amiatt döntenek-e a Zoom
használata mellett, hogy azt hiszik: van benne végponti titkosítás, azaz a
beszélgetéseikhez az ég világon senki sem férhet hozzá.
Az mindenesetre biztos, hogy csoportos videochatelés esetében
nem könnyű végponti titkosítást implementálni. Matthew Green, a Johns Hopkins
University kriptográfusa szerint a titkosított adattovábbítás megnehezíti a
kapcsolat minőségének optimalizálását – ha a rendszer látja, kinél szemcsés a
kép vagy megy el a hang, akkor végponti titkosítás nélkül ezt gyorsan
javíthatja. Mindez viszont nem lehetetlen: az Apple FaceTime-ja csoportosan is
végponti titkosítást használ, azaz mindig biztonságos marad.
Ami a Zoomot illeti, a cég állítja, hogy sosem nézik meg, ki miről és hogyan beszélget, és csak a szolgáltatás fennmaradásához szükséges adatokat használják fel házon belül. Ugyanakkor a cég most egy másik adatbiztonsági ügyben is magyarázkodni kényszerül: a Motherboard leplezte le, hogy iOS-en használva a Zoom app még akkor is továbbít adatokat a Facebooknak, ha a felhasználónak nincs fiókja a világ legnagyobb közösségi oldalán.
Bár a Zoom végfelhasználói szerződése kimondja, hogy a cég hirdetési partnerei automatikusan gyűjtenek adatokat az alkalmazásból, a listában a Google-t felsorolják ugyan, de a Facebookot nem.
Kép: Allie Smith // Unsplash