Zoom ไม่ได้เข้ารหัสการใช้งานแบบ End-to-end อย่างที่โฆษณา!

มีการเปิดเผยเรื่องราวความคลุมเครือด้าน Privacy ของโปรแกรมประชุมออนไลน์ยอดนิยมอย่าง Zoom อีกหนึ่งกรณีแล้ว คือการไม่ได้ทำการเข้ารหัสระดับ End-to-end อย่างแท้จริงเหมือนที่คุย

เรื่องคือ Zoom ได้โฆษณาตัวเองในเว็บไซต์ว่าได้ทำการเข้ารหัสระดับ End-to-end ทั้งยังได้อ้างอิงถึง White Paper ซึ่งวันนี้มีการเปิดเผยจากสำนักข่าว The Intercept ว่า Zoom ไม่ได้มีการเข้ารหัสระดับ End-to-end อย่างแท้จริง โดยไอเดียคำว่าเข้ารหัสระดับ End-to-end ควรหมายถึงมีเพียงผู้เข้าร่วมในห้องสนทนาเท่านั้นที่มองเห็นเนื้อหาในวีดีโอ แต่ Zoom กลับใช้วิธีการเข้ารหัสระดับเครือข่ายด้วย TLS หรือวิธีการเข้ารหัสบนเว็บไซต์ตามปกติ ซึ่งเป็นการป้องกันระหว่างทางเท่านั้น (Endpoint-Server) นั่นหมายความว่าตัวเซิร์ฟเวอร์ของ Zoom เองยังสามารถเข้าถึงเนื้อหาการประชุมวีดีโอหรือเสียงได้

ทั้งนี้โฆษกจาก Zoom เองก็ยอมรับกับสำนักข่าวว่า “ปัจจุบันนี้ยังเป็นไปไม่ได้ที่จะทำการเข้ารหัสแบบ End-to-end ตอน Video Meeting โดย Zoom ใช้ทั้ง TCP และ UDP ซึ่ง TCP จะถูกเข้ารหัสด้วย TLS และ UDP จะใช้ AES ด้วยการแลกคีย์ผ่าน TLS” แต่ทาง Zoom ก็ยังแถต่อไปว่าตนตีความคำว่า End-to-end คือการเข้ารหัสระหว่าง Zoom Endpoint ด้วยกัน ดังนั้นจึงอ้างได้ว่า Endpoint หนึ่งก็คือ Server ของตนที่อยู่ระหว่างผู้ใช้ด้วย

นอกจากนี้เอง The Intercept ยังเผยว่า Zoom ยังไม่ยอมเปิดเผยรายงานการตัวเลขสถิติการร้องขอการเข้าถึงข้อมูลจากกระบวนการทางกฏหมายเหมือนที่ Microsoft, Facebook และ Google ทำกัน รวมถึงเมื่อไม่กี่วันก่อนก็มีการเปิดเผยเรื่องที่แอป Zoom บน iPhone ลอบส่งข้อมูลไปหา Facebook โดยไม่แจ้งให้ผู้ใช้งานรับรู้อย่างชัดเจนด้วย ซึ่งปัจจุบัน Zoom ก็ได้แก้ไขโค้ดการลอบส่งข้อมูลนี้ไปแล้ว แต่ยังมีกรณีอื่นๆ อีก ถึงอย่างนั้น Zoom ก็ยืนกรานตามระเบียบว่าตนใส่ใจสิทธิส่วนบุคคลของผู้ใช้อย่างจริงจัง

ที่มา :  https://theintercept.com/2020/03/31/zoom-meeting-encryption/ และ  https://thenextweb.com/security/2020/04/01/dont-believe-zoom-its-video-calls-are-not-encrypted-end-to-end/