Сегодня Zoom вновь оказался под пристальным вниманием после публикации отчета о том, что заявления видеоконференц-приложения о шифровании вводят в заблуждение.

Zoom заявляет на своем веб-сайте и в своем техническом документе по безопасности, что приложение поддерживает сквозное шифрование — термин, который относится к способу защиты пользовательского контента таким образом, чтобы компания не имела к нему никакого доступа.

Однако расследование, проведенное The Intercept, показывает, что Zoom защищает видеозвонки с использованием TLS-шифрования, той же технологии, которую веб-серверы используют для защиты HTTPS-сайтов:

Это называется транспортным шифрованием, которое отличается от сквозного шифрования тем, что сам сервис Zoom может получать доступ к незашифрованному видео- и аудиоконтенту конференций Zoom. Таким образом, когда у вас проходит конференция Zoom, видео- и аудиоконтент останется конфиденциальным от любого, кто шпионит за вашим Wi-Fi, но он не останется конфиденциальным от компании.

Как ясно дает понять отчет, чтобы конференция Zoom была защищена сквозным шифрованием, звонок должен быть зашифрован таким образом, чтобы только участники конференции могли расшифровать его с использованием локальных ключей шифрования. Но такого уровня безопасности сервис не предлагает.

Когда The Intercept попросил Zoom прокомментировать находку, представитель компании отрицал, что компания вводит пользователей в заблуждение:

«Когда мы используем фразу «End to End» в другой нашей литературе, это относится к шифрованию соединения от конечной точки Zoom до конечной точки Zoom… Контент не расшифровывается при передаче через облако Zoom».

Технически, текстовый чат в Zoom является единственной функцией Zoom, которая фактически защищена сквозным шифрованием. Но теоретически сервис может шпионить за частными видеоконференциями и быть вынужденным передавать записи встреч правительствам или правоохранительным органам в ответ на законные запросы.

Zoom сообщил The Intercept, что собирает только те пользовательские данные, которые ему необходимы для улучшения своего сервиса – к ним относятся IP-адреса, сведения об ОС и устройстве – но не позволяет сотрудникам получать доступ к содержанию встреч.

На прошлой неделе практики обмена данными Zoom подверглись критике после того, как выяснилось, что сервис отправлял данные в Facebook, не уведомляя об этом клиентов. Впоследствии компания обновила приложение, чтобы удалить функцию входа через Facebook и предотвратить доступ к данным.

Обновление: Как отметил TechCrunch, исследователь безопасности Патрик Уордл обнаружил две ранее нераскрытые уязвимости нулевого дня, затрагивающие Zoom.