Các khóa mã hóa của Zoom “đôi lúc” được gửi đến Trung Quốc?

Trong mã hóa đầu cuối (end-to-end encryption), thông thường, các khóa sẽ được tạo và lưu trữ trên điện thoại hoặc máy tính của bạn. Tuy nhiên, Zoom quản lý các khóa đó trên các máy chủ của công ty và một vài máy trong số đó được đặt tại Trung Quốc, theo Citizen Lab phân tích.

Zoom nói rằng họ cung cấp khóa mã hóa end-to-end cho các cuộc họp của bạn để tránh việc bị rò rỉ thông tin, nhưng đừng tin điều đó. Văn phòng có trụ sở tại San Jose không chỉ lưu giữ các khóa mã hóa mà còn gửi chúng đến Trung Quốc trong một số trường hợp, tùy theo nhóm được theo dõi.

Citizen Lab đã thử nghiệm tạo một cuộc họp trên Zoom để xem nơi các khóa mã hóa được tạo. Trong nhiều lần thử nghiệm ở Bắc Mỹ, họ đã quan sát các khóa mã hóa và giải mã chúng, xác định các khóa được dẫn đến các máy chủ ở Bắc Kinh, Trung Quốc. Đây là những báo cáo do Bill Marczak và John Scott-Railton tìm hiểu vào thứ sáu (3/4) vừa rồi

Các khóa mã hóa có khả năng sẽ được gửi đến Trung Quốc vì Zoom có văn phòng công ty ở nước này. Theo hồ sơ SEC (Securities and Exchange Commission) cho thấy Zoom có khoảng 700 nhân viên tại Trung Quốc phục vụ cho các mục đích nghiên cứu và phát triển.

Citizen Lab graphic on how the Zoom encryption keys are generated

Tất nhiên, những kẻ xấu có thể dễ dàng theo dõi các cuộc họp trên Zoom của bạn, nếu bạn để ở chế độ công khai hoặc không tạo mật khẩu cho phòng. Việc thiếu bảo mật đã dẫn đến hàng loạt cuộc tấn công nhắm đến người dùng Zoom, khiến FBI phải cảnh báo mọi người về vấn đề này.

Mặt khác, mã hóa có thể bảo vệ tin nhắn của bạn khỏi những “con mắt tò mò” khi chúng được lưu trữ trong cơ sở dữ liệu hoặc được gửi qua mạng. Trong một hệ thống mã hóa end-to-end, khóa được tạo và lưu trữ trên điện thoại hoặc máy tính của bạn, điều này ngăn chính nhà cung cấp (hoặc các cơ quan thực thi pháp luật) giải mã tin nhắn của bạn. Tuy nhiên, trong trường hợp Zoom, họ lại quản lý các khóa tại các máy chủ của riêng họ.

Các nhà nghiên cứu cho biết trong cả 5 máy chủ ở Trung Quốc và 68 máy chủ ở Mỹ dường  như chúng chạy cùng phần mềm server với máy chủ Bắc Kinh.

Theo Citizen Lab, có thể Zoom đặt văn phòng công ty tại Trung Quốc để giúp họ cắt giảm chi phí lao động. Nhưng điều đó cũng có nghĩa là những văn phòng đó thuộc thẩm quyền của chính phủ Trung Quốc, nơi có quyền buộc các công ty trong nước phải cung cấp mọi thông tin.

Cho đến nay, Zoom vẫn chưa lên tiếng về báo cáo này. Nhưng vào hôm thứ tư (1/4), họ đã giải quyết drama về cách tiếp cận các khóa mã hóa. Theo ông Oded Gal, giám đốc sản phẩm của Zoom, mặc dù Zoom giữ các khóa mã hóa, nhưng họ không có hệ thống để giải mã các phiên họp đó:

“Chúng tôi không bao giờ xây dựng một hệ thống để giải mã các cuộc họp trực tiếp cho mục đích phi pháp, chúng tôi cũng không có ý định “gài” nhân viên của mình hoặc những người khác vào các cuộc họp mà không được sự cho phép của người tạo phòng.”

ZOOM
Zoom sử dụng chuẩn mã hóa ECB thay vì AES-128

Tuy nhiên, Citizen Lab tìm ra một số lỗ hổng đáng kể trong lời bào chữa về vấn đề mã hóa của Zoom. Báo cáo ghi nhận Zoom đang sử dụng một tiêu chuẩn mã hóa yếu hơn AES-128, nó được gọi là ECB. Theo Citizen Lab đây là một sáng kiến tồi, bởi vì các cuộc họp video được mã hóa vẫn sẽ giữ lại các mẫu trong dữ liệu. Điều này có thể cho phép bạn xem các phác thảo thô về hình ảnh của video, mặc dù ĐÃ ĐƯỢC MÃ HÓA.

Các nhà nghiên cứu còn tìm thấy một lỗ hổng nghiêm trọng khác trong tính năng phòng chờ của Zoom, có thể được sử dụng để ngăn những “vị khách không mời” tham gia các cuộc họp của bạn. Họ viết rằng: “Chúng tôi hiện không cung cấp thông tin công khai về vấn đề này để ngăn chặn việc nó bị lạm dụng. Trong thời gian này, chúng tôi khuyên người dùng Zoom muốn bảo mật thì không nên sử dụng Phòng chờ của Zoom. Thay vào đó, chúng tôi khuyến khích người dùng sử dụng tính năng mật khẩu của Zoom.”

Zoom là lựa chọn phù hợp cho các cuộc hội thoại thông thường và giảng dạy trực tuyến. Nhưng nếu bạn đang dựa vào dịch vụ này để trao đổi về những thông tin nhạy cảm, chẳng hạn như công ty hoặc doanh nghiệp chính phủ, bạn nên cân nhắc một công cụ khác an toàn hơn hoặc ứng dụng nhắn tin như Signal.

Zoom cho biết họ đang làm việc để cho phép người dùng lưu trữ khóa mã hóa cục bộ trên phần cứng của chính người dùng. Nhưng có lẽ phải đợi đến vào cuối năm nay mới khắc phục được và dường như nó chỉ hướng đến các doanh nghiệp, chứ không phải người tiêu dùng phổ thông. Do covid-19, việc sử dụng Zoom đã tăng vọt lên đến 200 triệu người dùng mỗi ngày.

Techtalk via PCMAG