迫真美国公司Zoom开发的视频会议软件有被中国政府植入后门的风险
原文:
加拿大公民实验室 Move Fast & Roll Your Own Crypto -- A Quick Look at the Confidentiality of Zoom Meetings
重大发现
加拿大公民实验室 Move Fast & Roll Your Own Crypto -- A Quick Look at the Confidentiality of Zoom Meetings
重大发现
- Zoom在技术文档中称:软件尽量使用【端对端】AES-256加密。然而事实是Zoom使用AES-128(尚可接受,但是属于虚假宣传)的ECB模式(我币圈人一口老血喷出来,这是属于教科书级别的错误。至于ECB模式有多不安全,请参考维基百科和此图),而且每次会议中所有人使用相同的AES密钥(一锅端)
- 这些AES-128密钥是由Zoom的服务器生成的(所以根本不是【端对端】加密),而且在某些情况下使用位于中国北京的服务器,即使会议参与者没有一人位于中国(葱油们应该都知道什么意思吧)
- Zoom公司尽管位于美国硅谷,却在中国拥有3家公司和700名员工开发Zoom软件。Zoom为了赚更多的钱,付着中国的工资,把产品卖给美国人。这种做法容易让Zoom屈服于中国政府的压力(如果干出交出密钥、开发后门之类的事,我一点也不会觉得奇怪)
24 个评论
Zoom我经常用,现在有两个明显的问题,非常操蛋 - (墙内使用情况)
1. 不管你下载的什么版本的zoom(国际版也好,中国版也好),如果人在墙内,你无法参加使用zoom.us的客户端的用户所发起的会议。只能参加使用中国版zoom的用户发起的会议。
2. 如果你下载的是zoom.us的客户端,也是只能参加中国版本zoom所发起的会议,且自己也无法发起会议。
顺便也问一下大神,有没有办法解决这种问题,我是不会装中国版zoom的,如果实在不行,只有放弃。但说实话Zoom还是挺好用的。
为什么我一直坚持使用zoom.us版本呢,原因是zoom.us的版本不会在每次连接会议时出现手机验证。现在也依然不用验证。
1. 不管你下载的什么版本的zoom(国际版也好,中国版也好),如果人在墙内,你无法参加使用zoom.us的客户端的用户所发起的会议。只能参加使用中国版zoom的用户发起的会议。
2. 如果你下载的是zoom.us的客户端,也是只能参加中国版本zoom所发起的会议,且自己也无法发起会议。
顺便也问一下大神,有没有办法解决这种问题,我是不会装中国版zoom的,如果实在不行,只有放弃。但说实话Zoom还是挺好用的。
为什么我一直坚持使用zoom.us版本呢,原因是zoom.us的版本不会在每次连接会议时出现手机验证。现在也依然不用验证。
