image

Onderzoek: Zoom ongeschikt om geheimen mee te bespreken

vrijdag 3 april 2020, 15:37 door Redactie, 6 reacties

Videoconferentiesoftware Zoom is ongeschikt om geheimen mee te bespreken. Daarnaast zit er een ernstig beveiligingslek in de wachtkamerfunctie, zo stellen onderzoekers in een vandaag gepubliceerd rapport. Zoom kwam de afgelopen weken wegens verschillende security- en privacyproblemen onder vuur te liggen. Het bedrijf beloofde daarop beterschap en bracht updates voor gevonden kwetsbaarheden uit.

Er zijn echter nieuwe problemen aanwezig, aldus onderzoekers van Citizen Lab, onderdeel van de universiteit van Toronto, dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Deze week erkende Zoom dat het geen gebruikmaakt van end-to-end encryptie, terwijl het dit wel beweerde. Nu stellen onderzoekers van Citizen Lab dat ook een andere encryptieclaim van het bedrijf niet waar is.

Zoom stelt dat het AES-256 encryptie voor meetings gebruikt. Uit het onderzoek van Citizen Lab blijkt dat in elke Zoom-meeting door alle deelnemers een enkele AES-128 sleutel in ECB-mode wordt gebruikt voor het versleutelen en ontsleutelen van audio en video. "Het gebruik van ECB-mode wordt niet aangeraden vanwege patronen in de plaintext die tijdens de versleuteling bewaard blijven", aldus de onderzoekers.

Image

Die ontdekten dat Zoom geen standaardprotocol gebruikt voor het versturen van audio en video, maar een eigen transportprotocol implementeert. Aan dit protocol heeft Zoom de eigen encryptie op een "bijzondere manier" toegevoegd merken de onderzoekers op. De encryptie en decryptie van Zoom maakt zoals gezegd gebruik van AES in ECB-mode, wat over het algemeen als een slecht idee wordt beschouwd, omdat bij deze vorm van encryptie invoerpatronen bewaard blijven, gaan de onderzoekers verder.

Daarnaast blijkt dat de AES-128 sleutels door Zoom-servers worden gegenereerd en in sommige gevallen via servers in China naar gebruikers worden gestuurd, ook al bevinden alle deelnemers aan de meeting zich buiten China. Daarnaast blijkt dat Zoom, een Amerikaans bedrijf, drie Chinese bedrijven van zo'n 700 medewerkers bezit, die worden betaald voor het ontwikkelen van de Zoom-software. Op deze manier zou Zoom geen Amerikaanse salarissen hoeven te betalen, terwijl het wel aan Amerikaanse klanten kan leveren. "Deze overeenkomst maakt Zoom gevoelig voor druk van de Chinese autoriteiten", aldus de onderzoekers.

Image

Ongeschikt

In hun conclusie stellen de onderzoekers dat Zoom ongeschikt is om geheimen mee te delen. "Zoom is gebruiksvriendelijk en het aantal gebruikers is tijdens de corona-uitbraak snel gegroeid omdat "het gewoon werkt". De groeiende groep gebruikers, gecombineerd met marketingtaal over encryptie en security hebben veel gevoelige gesprekken aangetrokken. Deze plotselinge populariteit plaatst het product in het vizier van inlichtingendiensten en cybercriminelen."

Vanwege de gevonden veiligheidsproblemen, zoals de "dubieuze encryptie" en dat de sleutels voor het versleutelen en ontsleutelen van meetings naar China worden gestuurd, raden de onderzoekers het gebruik van Zoom af als de vertrouwelijkheid van de meeting belangrijk is. Het gaat dan bijvoorbeeld om overheden die zich zorgen over encryptie maken, bedrijven die bezorgd zijn over cybercrime en spionage, zorgverleners die gevoelige patiëntgegevens verwerken en activisten, advocaten en journalisten die aan gevoelige onderwerpen werken.

Afsluitend merken de onderzoekers op dat er een ernstige kwetsbaarheid in de wachtkamerfunctie van Zoom aanwezig is. Zoom biedt beheerders de optie om deelnemers aan een meeting eerst in een wachtkamer te zetten. Daarvandaan kunnen ze aan meeting worden toegevoegd. Details over de kwetsbaarheid zijn met Zoom gedeeld. Totdat er een update beschikbaar is wordt afgeraden de wachtkamerfunctie te gebruiken en in plaats daarvan de meeting met een wachtwoord te beveiligen. Zoom liet deze week weten dat het de komende negentig dagen geen nieuwe features zal ontwikkelen en zich volledig op het verhelpen van de security- en privacyproblemen zal richten.

Reacties (6)
03-04-2020, 16:18 door Anoniem
Zoom’s Encryption Is “Not Suited for Secrets” and Has Surprising Links To China, Researchers Discover
by Micah Lee

https://theintercept.com/2020/04/03/zooms-encryption-is-not-suited-for-secrets-and-has-surprising-links-to-china-researchers-discover/
04-04-2020, 07:42 door [Account Verwijderd]
Wederom een voorbeeld van closed source software. Closed source software is nu eenmaal gevoelig voor financiële invloed van buitenaf (denk aan TLA's en China in dit geval). Denk ook aan Microsoft Teams, Apple heeft vast wel een variant en Google natuurlijk. En dat is niet het enige probleem. Je kan de software ook niet controleren door even de source te gaan bekijken, dat is wel weer bewezen tijdens dit onderzoek.
04-04-2020, 14:05 door Anoniem
Door donderslag: Wederom een voorbeeld van closed source software. Closed source software is nu eenmaal gevoelig voor financiële invloed van buitenaf (denk aan TLA's en China in dit geval). Denk ook aan Microsoft Teams, Apple heeft vast wel een variant en Google natuurlijk. En dat is niet het enige probleem. Je kan de software ook niet controleren door even de source te gaan bekijken, dat is wel weer bewezen tijdens dit onderzoek.

Helemaal eens.
Maar er zijn nu tijdens deze Corona-crisis meer signalen dat het niet handig is om zelf geen grip te hebben op essentiele voorzieningen, dan wel afhankelijk te zijn van een (lees 1) enkele leverancier.
- mondkapjes (productie grotendeels in China)
- Covid-19 PCR virustest van Roche (leveringsproblemen)
- propofol (anaestheticum) leveringsproblemen (productie alleen in China)
En als de crisis toeslaat gaan we "WhatsAppen, Skypen, Zoomen". Omdat het makkelijk is? Is dat dan het enige criterium?

https://www.security.nl/posting/650266/Zoom+lekt+foto%27s+en+e-mailadressen+gebruikers+aan+onbekenden
Anoniem 15:40

Verbeterpunten:
- Productie van mondkapjes in Nederland. Open source model.
- Productie van (generieke) geneesmiddelen in Nederland, open source.
- Productie van vaccins in Nederland, open source. (De ontwikkeling vindt al plaats bij de universiteiten).
- Productie van (virus) testen in Nederland, open source.
- Productie, ontwikkeling, gebruik van open source software in Nederland. (Maastricht en Clop virus lijken ver weg).

Mag ook in Europees verband. Maar wel open source.
Mag ook wat kosten, want het alternatief (zoals lock-down) is veel duurder.
05-04-2020, 00:42 door Anoniem
Kijk, een goede onderbouwing van de kwetsbaarheden en risico's. Hier kan je me beter mee overtuigen dan met die niet onderbouwde bangmakerij die ik op veel plaatsen lees.
Complimenten aan de auteur.

Ben wel benieuwd of andere tools op vergelijkbare wijze aan de tand worden gevoeld.
06-04-2020, 10:21 door Anoniem
Door Anoniem:
Door donderslag: Wederom een voorbeeld van closed source software. Closed source software is nu eenmaal gevoelig voor financiële invloed van buitenaf (denk aan TLA's en China in dit geval). Denk ook aan Microsoft Teams, Apple heeft vast wel een variant en Google natuurlijk. En dat is niet het enige probleem. Je kan de software ook niet controleren door even de source te gaan bekijken, dat is wel weer bewezen tijdens dit onderzoek.

Helemaal eens.
Maar er zijn nu tijdens deze Corona-crisis meer signalen dat het niet handig is om zelf geen grip te hebben op essentiele voorzieningen, dan wel afhankelijk te zijn van een (lees 1) enkele leverancier.
- mondkapjes (productie grotendeels in China)
- Covid-19 PCR virustest van Roche (leveringsproblemen)
- propofol (anaestheticum) leveringsproblemen (productie alleen in China)
En als de crisis toeslaat gaan we "WhatsAppen, Skypen, Zoomen". Omdat het makkelijk is? Is dat dan het enige criterium?

https://www.security.nl/posting/650266/Zoom+lekt+foto%27s+en+e-mailadressen+gebruikers+aan+onbekenden
Anoniem 15:40

Verbeterpunten:
- Productie van mondkapjes in Nederland. Open source model.
- Productie van (generieke) geneesmiddelen in Nederland, open source.
- Productie van vaccins in Nederland, open source. (De ontwikkeling vindt al plaats bij de universiteiten).
- Productie van (virus) testen in Nederland, open source.
- Productie, ontwikkeling, gebruik van open source software in Nederland. (Maastricht en Clop virus lijken ver weg).

Mag ook in Europees verband. Maar wel open source.
Mag ook wat kosten, want het alternatief (zoals lock-down) is veel duurder.

- Productie, ontwikkeling, gebruik van open source software in Nederland. (Maastricht en Clop virus lijken ver weg).

Ga jij zelf persoonlijk de software ontwikkelen & testen ?
08-04-2020, 12:07 door Anoniem
Door Anoniem: Kijk, een goede onderbouwing van de kwetsbaarheden en risico's. Hier kan je me beter mee overtuigen dan met die niet onderbouwde bangmakerij die ik op veel plaatsen lees.
Complimenten aan de auteur.

Ben wel benieuwd of andere tools op vergelijkbare wijze aan de tand worden gevoeld.

Alle privacy aanhangers zouden nu Zoom hun aangewakkerd heeft met dezelfde kritische blik nu moeten doorpakken en ook de andere oplossingen zo grondig moeten doornemen.
Wat de papegaaien die met name de bangmakerij 1:1 overnemen nu erg aan het pushen zijn in plaats van Zoom is Cisco Webex. Weet iemand of daar al goed onderzoek naar gedaan is (puur uit interesse of dit een goed alternatief kan zijn)?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.