Zoom拒绝免费用户端到端加密面临批评

来源:

什么价格的隐私?放大首席执行官Eric Yuan面临新的安全风暴确认通过(实际上)实施端到端加密重新启动其受过破坏的安全性的计划实际上并没有扩展到向非付费用户提供此级别的安全性。

这放大“对隐私溢价”是必要的,它可以提供执法与访问通话内容,昨日报上的盈利期间袁提出与安全有关的言论称,当公司报告大幅上涨得益于当前局势速了远程工作工具的使用。

袁在电话中说:“免费用户肯定不想提供[e2e加密],因为我们也希望与FBI一起合作,以防万一有人将Zoom用作恶意目的时与当地执法部门合作。”

安全专家迅速前往Twitter谴责Zoom的“付钱给我们或不付e2e”政策。

EFF副研究总监Gennie Gebhart在与公司进行反馈后,还批评了Zoom于上月末在Twitter线程中为免费用户保留e2e加密的决定,并批评该公司出于安全考虑将其所谓的纯加售转售。 。

她建议说,“坏账发生在免费账户上”是毫无争议的应对方案。

时至今日,彭博技术记者尼科·格兰特(Nico Grant)撰写的关于袁的评论的报道在推特上引起了其他人的干预,其中包括Alex Stamos(前Facebook和Yahoo!)。一位安全执行官在4月几天以公司顾问的身份签署了Zoom的安全战略,因为该公司因夸大了安全要求而受到了股东的集体诉讼。

Stamos-曾担任Yahoo!的CSO!在美国国家安全局(NSA)使用后门扫描用户电子邮件以及在俄罗斯针对2016年美国总统大选实施大规模虚假信息宣传活动期间提高了安全性的这段时期–通过Twitter称其存在“艰难的平衡行为”他说,佐证Zoom决定拒绝所有用户使用e2e加密是合理的。

奇怪的是,当科技巨头在WhatsApp上完成e2e加密的推出时,Stamos还是Facebook的CSO,从而为当时超过十亿的免费使用的移动消息和视频聊天应用程序的用户提供了这种安全级别。

这可能表明Stamos对在线“危害”的概念自2016年以来已经发生了很大的变化-毕竟,他自从以斯坦福大学副教授的身份登陆斯坦福(在那里他研究“安全技术”)。尽管在同一年(2016年),他为雇主决定不将e2e加密设置为Facebook Messenger的默认值辩护。因此,在运用“安全专业知识”的掩饰之际,似乎已为Stamos的统一思路辩护,以捍卫公司的决策。

他最新的Twit(n)ter-vention碰巧出现了,安全顾问现在为Zoom管理层不将e2e加密扩展到免费产品用户的决定辩护。

但是他在推特上为AES辩护作为e2e加密的有效替代方法,加密引起了加密社区的一些尖锐批评,这是对既定标准的攻击。

巴黎的应用密码学研究人员Nadim Kobeissi告诉我们说,Zoom团队在开发其提议的(付费产品)会议e2e加密系统时使用了他的协议建模和分析软件,他称Stamos“坚持使用AES”可以被Zoom Inc.随意绕过的加密称为“真正的加密”。

Kobeissi发推文说,那是“在这里真正令人误解的地方”。

在与TechCrunch的电话中,Kobeissi充实了他的批评,他说,他更广泛地关注某些既得利益者劫持了当前和(急需的)“互联网时代精神”对在线安全的关注,以推动自己的议程以某种方式可以减少主要的在线安全性收益,例如将e2e加密扩展到诸如WhatsApp和Signal之类的免费消息传递应用程序,并导致安全性理想和标准普遍下降。

Kobeissi指出,Stamos捍卫的AES加密无法防止服务器拦截和监听呼叫。加密专家强调,它“与防窥探加密根本不同”,它也没有为Zoom用户提供检测这种攻击的方法。

因此,他将Stamos对AES的辩护描述为“误导性和操纵性”,并说这模糊了e2e加密和非e2e之间明确建立的分界线。

“ [Zoom情况]存在两个问题:1)免费用户没有e2e加密;2)有故意欺骗的行为。”科贝西告诉TechCrunch。

他还质疑为什么Stamos没有公开推动Zoom来寻找为免费用户安全实施e2e加密的方法-举例说明,Facebook最近在其上应用了坦率的“滥用报告”机制,将其用于e2e加密的“秘密对话”。信使。

“为什么不改善FacebookMessenger坦率地说,”他建议,要求Zoom使用收购Keybase的安全团队进行投资和进行研究,以提高所有用户的安全标准。

他认为,这种机制可以“绝对”应用于视频和语音通话。

“我认为[Stamos]对最终被告知有关这些服务的真实性具有有害影响,”科贝西在对前Facebook CSO的进一步批评中补充说。他说,他类似于“固定者”,被称为“使公司尽可能地被安全社区接受,同时让它做自己想做的事”。

我们已经联系Zoom和Stamos进行评论。更新:Stamos现在已对Kobeissi对其AES辩护的批评发送了此回复,并写道:“免费套餐在网上加密,就像WebEx,Meet,Teams和其他竞争对手一样。与这些公司一样,服务器可以访问加密密钥,以实现电话桥,客房服务和云内转录等功能。我所发送的鸣叫线程和所链接的论文使所有这些内容都清晰而准确。”

“ [Facebook] Messenger的盖章系统解决了一个重要问题,允许主机以加密安全的方式报告不良活动。在构建主机报告时,我们正在研究Messenger设计。当被问及在Zoom平台上实施类似机制的可能性时,Stamos补充说,这对于处理“ Zoombombings”非常重要,尤其是在干扰因素确实有害的情况下。

“但是,这并不能解决其他安全问题,那就是创建短暂的自助服务帐户,然后为陌生人举办真正有害的会议,最糟糕的是虐待儿童。目前,Zoom的T&S团队可以参加极少数风险很高的会议,但是适当的E2E设计(如我们建议的那样)将阻止这种情况。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。