迫真美国公司Zoom开发的视频会议软件有被中国政府植入后门的风险
原文:
加拿大公民实验室 Move Fast & Roll Your Own Crypto -- A Quick Look at the Confidentiality of Zoom Meetings
重大发现
加拿大公民实验室 Move Fast & Roll Your Own Crypto -- A Quick Look at the Confidentiality of Zoom Meetings
重大发现
- Zoom在技术文档中称:软件尽量使用【端对端】AES-256加密。然而事实是Zoom使用AES-128(尚可接受,但是属于虚假宣传)的ECB模式(我币圈人一口老血喷出来,这是属于教科书级别的错误。至于ECB模式有多不安全,请参考维基百科和此图),而且每次会议中所有人使用相同的AES密钥(一锅端)
- 这些AES-128密钥是由Zoom的服务器生成的(所以根本不是【端对端】加密),而且在某些情况下使用位于中国北京的服务器,即使会议参与者没有一人位于中国(葱油们应该都知道什么意思吧)
- Zoom公司尽管位于美国硅谷,却在中国拥有3家公司和700名员工开发Zoom软件。Zoom为了赚更多的钱,付着中国的工资,把产品卖给美国人。这种做法容易让Zoom屈服于中国政府的压力(如果干出交出密钥、开发后门之类的事,我一点也不会觉得奇怪)
