Zoom behebt Probleme mit der Umleitung von Datenverkehr über Server in China und verspricht bessere Verschlüsselung

 

Die zwei drängendsten von Citizen Lab aufgedeckten Probleme betreffen die Umleitung von Zoom-Datenverkehr über Server in China und sowie eine vermeintliche Ende-zu-Ende-Verschlüsselung, die nicht den Branchenstandards entspricht.

Darüber hinaus ergab die Untersuchung ein weiteres Problem, das allerdings nicht in Zusammenhang mit der eingesetzten Technologie steht. Demzufolge findet ein Großteil der Forschung und Entwicklung für die App in China statt, obwohl die meisten Einnahmen aus den Vereinigten Staaten stammen und Zoom ein US-amerikanisches Unternehmen ist. Damit setzt sich das Unternehmen theoretisch dem Risko der Einflussnahme durch chinesische Behörden aus.

Eric Yuan, CEO und Gründer von Zoom, hatte zwar Antworten auf einige der technischen Fragen, ging aber nicht weiter auf den Einatz von in China tätigen Entwicklern ein.

Zunächst stellte sich heraus, dass Zoom eigentlich eine Geofencing-Funktion verwendet, die sicherstellt, dass der Verkehr zwischen Teilnehmern außerhalb Chinas nicht über chinesische Server geleitet wird. Umgekehrt werden für den Datenverkehr innerhalb Chinas ausschließlich chinesische Server verwendet.

Nachdem die Anwendung im Zuge der Ausbreitung der COVID-19-Pandemie einen massiven Nutzungsanstieg verzeichnete, fügte das Unternehmen neue Server hinzu, um der Nachfrage gerecht zu werden. Dabei landeten versehentlich auch zwei chinesische Server auf einer Whitelist. Diese beiden Server wurden nach Veröffentlichung des Berichts durch Citizen Lab umgehend entfe.

Das zweite Problem steht im Zusammenhang mit der vermeintlichen Ende-zu-Ende-Verschlüsselung der App. Es stellte sich heraus, dass Zoom zwar den Begriff Ende-zu-Ende-Verschlüsselung verwendet, sich dabei aber nicht am gängigen Branchenstandard orientiert.

Citizen Lab weist darauf hin, dass die von Zoom verwendete Verschlüsselung es dem Unternehmen ermöglichen könnte, Tools zu entwickeln, mit denen sich Gespräche belauschen und sogar aufzeichnen lassen würden. Das Unternehmen erklärte, dass es über keine derartigen Tools verfüge und mit Hilfe der Community an einem verbesserten Schutz arbeite.

„Aufgrund der einzigartigen Anforderungen unserer Plattform ist es unser Ziel, die besten Verschlüsselungsverfahren zu nutzen, um maximale Sicherheit zu gewährleisten und gleichzeitig die große Bandbreite der von uns unterstützten Anwendungsfälle abzudecken“, so der CEO von Zoom in einem englischsprachigen Blog-Beitrag.

„Wir arbeiten mit externen Experten zusammen und werden auch Feedback von unserer Community einholen, um sicherzustellen, dass sie für unsere Plattform optimiert wird.“

Angesichts einer ganzen Reihe von Zoom-Sicherheitsproblemen im vergangenen Monat, darunter die Weitergabe von Daten an Facebook über das SDK oder die Umgehung von macOS-Sicherheitsfunktionen zur Installation des Clients ohne Admin-Rechte, wird laut Eric Yuan die Entwicklung neuer Funktionen für die kommenden 90 Tage ausgesetzt.. Stattdessen will sich das Unternehmen ausschließlich auf die Behebung von Sicherheitsproblemen konzentrieren.

rn