Платформата за видеоконференции Zoom, чиято популярност нарасна по време на пандемията, среща нарастващи опасения относно поверителността и сигурността, след като данни от проучвания и изявление на изпълнителния директор на компанията разкриха, че в някои случаи ключовете за криптиране на апликацията се прехвърлят към сървъри в Китай.
Критиката достигна връхната си точка неотдавна, когато Тайван постави забрана за всякаква правителствена употреба на Zoom, като се позова на съмненията за липса на сигурност. Мярката от 7 април е първият случай, в който правителство налага официални ограничения срещу компанията.
Подобна картина се очертава и в Съединените щати. Експерти споделиха пред медията „Епок таймс“, че опасенията, свързани с предполагаемите връзки на Zoom с Китайската комунистическа партия са абсолютно основателни.
Наблюдателната група Citizen Lab наскоро анализира криптирането на Zoom по време на многократни тестови видеоконферентни връзки в Северна Америка, в които те откриха, че ключове за криптиране и декриптиране на видеосрещите биват „прехвърляни към сървъри в Пекин.“ Докладът посочва, че Zoom използва „нестандартни за индустрията криптографски техники със забележителни недостатъци.“
„Приложение с леснообозначими ограничения в криптографията, проблеми със сигурността и офшорни сървъри, разположени в Китай, което борави с ключове за видеоконферентни срещи, представлява лесно средство за нападатели от държави с достатъчно добри ресурси, включително Китайската народна република“ – пишат авторите в доклада си от 3 април.
Zoom доби огромна популярност през последните седмици, тъй като милиони американци под карантина са задължени да работят от вкъщи. През месец март базираната в Сан Хосе, Калифорния апликация имаше над 200 милиона потребители на ден, което е забележително завишение в сравнение с 10 милиона потребители в края на декември миналата година.
Изглежда, че Zoom притежава три компании в Китай, посочва докладът, като добавя, че според неотдавнашни данни на Американската комисия по ценни книжа и борси, компанията чрез своите китайски филиали „е наела най-малко 700 служители в Китай, които работят в областта на изследвания и разработки. Разследващите посочват, че такава ситуация „може да накара Zoom да се огъне под евентуален натиск от страна на китайските власти“.
Кейси Флеминг, председател и изпълнителен директор за разузнаване и стратегия за сигурност на компанията BlackOps Partners, каза, че американците трябва да бъдат много предпазливи към всеки създаден или произведен в Китай софтуер или хардуер.
„Китайската комунистическа партия (ККП) напълно контролира цялото производство и използва всяка възможност да краде интеликтуална собственост и иновации чрез всевъзможни средства – заяви Флеминг пред „Епок таймс“. – Икономическият шпионаж е част от грандиозната стратегия на ККП на „хибридна конкуренция“ (битка) за победа над Съединените щати, капитализма и демокрацията, и в крайна сметка – за контролиране на целия свят.“
„Светът се събужда за това колко безскрупулни и зли са в действителност ККП и нейните истински намерения – каза той. – Неотдавнашни действия и изявления на ККП разкриват това. ККП наподобява много на злобна и разпадаща се криминална фамилия, която управлява национална държава.“
Zoom не отвърна на поканата на „Епок таймс“ за коментар.
Агенция „Ройтерс“ съобщи, че междувременно Департаментът за вътрешна сигурност на САЩ е пуснал съобщение, че компанията е реагирала на повдигнатите опасения за нейния софтуер. Съобщението е било разпратено до висшите държавни служители, отговарящи за киберсигурността.
Засилване на подозренията
Изпълнителният директор на Zoom Ерик Юен призна в интернет блог публикация от 3 април, че компанията „по погрешка“ е прибавила сървъри на апликацията в Китай.
„Поради неотложността да се притечем на помощ на хората по света по време на тази безпрецедентна пандемия, ние добавихме сървърен капацитет, като го направихме бързо – започвайки от Китай, откъдето тръгна заразата – каза Юен. – В този процес не успяхме изцяло да приложим нашите обичайни, най-добри практики за геозащита. В резултат на това е възможно на някои видеоконферентни срещи да е било позволено да се свържат със системите в Китай, където не би трябвало да могат да се свързват.“
По думите на Юен през месец февруари, за да отговори на нарастващото търсене, Zoom е добавил два от китайските центрове за данни на апликацията „към дълъг, одобрен лист с резервни връзки, което потенциално дава възможност на некитайски клиенти, при изключително ограничени обстоятелства, да се свържат с тях (а именно когато основните некитайски сървъри са били недостъпни).“
Той добави, че след като е научил за пропуска, Zoom „веднага е махнал китайските центрове за данни от одобрения списък с вторични резервни връзки за потребители извън Китай.“
В интервю с интернет изданието Medium през октомври 2017 г. Юен казва, че решението да се премести в Съединените щати през 90-те години е било заради надигащата се интернет вълна, каквато все още не е имало в Китай. Той добави, че е получил виза за САЩ чак на деветия път.
„Първия път, когато кандидатствах, ми беше отказана виза за САЩ – казва Юен. – Продължих да кандидатствам отново и отново в продължение на две години, докато на деветия път, най-после успях да взема виза.“
ФБР също предупреди в публикация от месец март за съмнителната сигурност на Zoom, в която обяви, че има съобщения за хакнати видео разговори с порнографски изображения или такива, изразяващи омраза, както и заплашителен език. Министерството на правосъдието също направи подобно изявление.
Експерти посочиха, че критиката, която съществува срещу апликацията е подобна на онази към притежаваната от Китай апликация за споделяне на видеоклипове ТiкТок, която е подложена на национален анализ за сигурност.
На 3 април група от 19 американски конгресмени изпратиха писмо до Юен, в което го подканят да хвърли светлина върху практиките на компанията за събиране на данни, включително информация за проследяване вниманието на участниците, записи в облак и автоматични преписи на конферентните срещи.
Според “Ню Йорк Таймс“ генералният прокурор на Ню Йорк Летиша Джеймс е изпратила писмо до Юан със запитване за новите мерки за сигурност, въведени от апликацията. Нюйоркският отдел по образованието също забрани на учителите да я използват.
Zoom е изправен пред огромна вълна негативизъм заради „многостранното и често умопомрачително късогледство по отношение на поверителността на потребителите и цялостната сигурност на своята платформа“ – зяви пред “Епок Таймс“ Атила Томашек, експерт по поверителност на данните в ProPrivacy.
„Теоретично Пекин би могъл да изиска ключовете за криптиране на тези видеоконферентни връзки да бъдат предадени за декриптиране от китайските власти, което им позволява пълен достъп до съдържанието на последните и възможност за слушане на разговори, които би трябвало да са поверителни“ – каза той.
Междувременно Майкъл Дрио – един от акционерите на Zoom Video Communications, заведе съдебно дело срещу компанията, обвинявайки я, че приложението ѝ за видеоконферентни разговори е обявило, че има по-високи стандарти за поверителност от реалните и не е разкрило, че услугата не е криптирана от край до край.
Също така на 8 април Google забрани употребата на Zoom на служебни компютри, позовавайки се на опасения за липса на сигурност. Говорител каза пред вестник „Дъ Хил“, че този ход е част от дългогодишната политика на Google да не позволява използването на „неодобрени приложения за работа“.
Фактът, че Zoom ефективно даде на китайските власти достъп до данните от видеоконферентни разговори на потребители в Северна Америка, далеч отвъд нормалния обхват на комунистическия режим, „е повод за тревога на съвсем друго ниво“ според Томашек.
„Zoom представлява особено привлекателна цел за правителствени агенции в събирането на разузнавателни данни – добави той. – Когато компанията буквално предаде ключовете на едно авторитарно правителство, това поражда огромни проблеми по отношение на доверието на потребителите и цялостните практики за сигурност.“
