Ingram SUSE

Zoom ไม่ได้เข้ารหัสการใช้งานแบบ End-to-end อย่างที่โฆษณา!

มีการเปิดเผยเรื่องราวความคลุมเครือด้าน Privacy ของโปรแกรมประชุมออนไลน์ยอดนิยมอย่าง Zoom อีกหนึ่งกรณีแล้ว คือการไม่ได้ทำการเข้ารหัสระดับ End-to-end อย่างแท้จริงเหมือนที่คุย

credit : Zoom.us

เรื่องคือ Zoom ได้โฆษณาตัวเองในเว็บไซต์ว่าได้ทำการเข้ารหัสระดับ End-to-end ทั้งยังได้อ้างอิงถึง White Paper ซึ่งวันนี้มีการเปิดเผยจากสำนักข่าว The Intercept ว่า Zoom ไม่ได้มีการเข้ารหัสระดับ End-to-end อย่างแท้จริง โดยไอเดียคำว่าเข้ารหัสระดับ End-to-end ควรหมายถึงมีเพียงผู้เข้าร่วมในห้องสนทนาเท่านั้นที่มองเห็นเนื้อหาในวีดีโอ แต่ Zoom กลับใช้วิธีการเข้ารหัสระดับเครือข่ายด้วย TLS หรือวิธีการเข้ารหัสบนเว็บไซต์ตามปกติ ซึ่งเป็นการป้องกันระหว่างทางเท่านั้น (Endpoint-Server) นั่นหมายความว่าตัวเซิร์ฟเวอร์ของ Zoom เองยังสามารถเข้าถึงเนื้อหาการประชุมวีดีโอหรือเสียงได้

ทั้งนี้โฆษกจาก Zoom เองก็ยอมรับกับสำนักข่าวว่า “ปัจจุบันนี้ยังเป็นไปไม่ได้ที่จะทำการเข้ารหัสแบบ End-to-end ตอน Video Meeting โดย Zoom ใช้ทั้ง TCP และ UDP ซึ่ง TCP จะถูกเข้ารหัสด้วย TLS และ UDP จะใช้ AES ด้วยการแลกคีย์ผ่าน TLS” แต่ทาง Zoom ก็ยังแถต่อไปว่าตนตีความคำว่า End-to-end คือการเข้ารหัสระหว่าง Zoom Endpoint ด้วยกัน ดังนั้นจึงอ้างได้ว่า Endpoint หนึ่งก็คือ Server ของตนที่อยู่ระหว่างผู้ใช้ด้วย

นอกจากนี้เอง The Intercept ยังเผยว่า Zoom ยังไม่ยอมเปิดเผยรายงานการตัวเลขสถิติการร้องขอการเข้าถึงข้อมูลจากกระบวนการทางกฏหมายเหมือนที่ Microsoft, Facebook และ Google ทำกัน รวมถึงเมื่อไม่กี่วันก่อนก็มีการเปิดเผยเรื่องที่แอป Zoom บน iPhone ลอบส่งข้อมูลไปหา Facebook โดยไม่แจ้งให้ผู้ใช้งานรับรู้อย่างชัดเจนด้วย ซึ่งปัจจุบัน Zoom ก็ได้แก้ไขโค้ดการลอบส่งข้อมูลนี้ไปแล้ว แต่ยังมีกรณีอื่นๆ อีก ถึงอย่างนั้น Zoom ก็ยืนกรานตามระเบียบว่าตนใส่ใจสิทธิส่วนบุคคลของผู้ใช้อย่างจริงจัง

ที่มา :  https://theintercept.com/2020/03/31/zoom-meeting-encryption/ และ  https://thenextweb.com/security/2020/04/01/dont-believe-zoom-its-video-calls-are-not-encrypted-end-to-end/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] หัวเว่ยเปิดตัวสายผลิตภัณฑ์โซลูชันอินเทอร์เน็ตอัจฉริยะ ช่วยเสริมโครงสร้างพื้นฐาน ไอซีทีของมหาวิทยาลัยไทยและภาคองค์กรธุรกิจให้พร้อมรับมือทุกสถานการณ์

เมื่อเร็วๆ นี้ หัวเว่ยจัดงาน Huawei Asia Pacific IP Club Carnival 2021 ภายใต้หัวข้อ “พร้อมรับการเปลี่ยนแปลงด้วยเทคโนโลยีอินเทอร์เน็ตอัจฉริยะเพื่อขับเคลื่อนอนาคตใหม่ให้วงการ” พร้อมเผยว่าโซลูชันด้านการสื่อสารและส่งข้อมูลจะช่วยเร่งการเปลี่ยนผ่านสู่ยุคดิจิทัลในภาคอุตสาหกรรมต่าง ๆ และจะช่วยกลุ่มองค์กรธุรกิจรวมถึงสถาบันการศึกษาในประเทศไทยให้สามารถสร้างเทคโนโลยีดิจิทัลที่มีความยืดหยุ่น …

CISA ออกเครื่องมือช่วยตรวจสอบกิจกรรมต้องสงสัยใน Microsoft 365

CISA ได้แจกเครื่องมือสำหรับองค์กรซึ่งสามารถช่วยตรวจสอบกิจกรรมแปลกๆที่เกิดขึ้นกับ Azure AD, Office 365 และ Microsoft 365 ที่อาจถูกแฮ็กเกอร์แฝงตัวอยู่