パスワードを忘れた? アカウント作成
14151084 story
インターネット

Web会議サービスZoomに対し複数の脆弱性があるとの指摘、暗号化への懸念の声も 66

ストーリー by hylom
いきなりクライアントをインストールさせるのはやばいでしょ 部門より

Anonymous Coward曰く、

新型コロナウイルスの感染拡大による外出自粛を受けて、オンラインでのミーティングを行えるビデオチャットサービスが注目されている。その1つに「Zoom」があるが、このZoomに対しセキュリティ面での懸念の声が出ている。

その1つに、通信内容の暗号化に関するものがある。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド(E2E)で暗号化されると明示されているものの、The Interceptによると、実際にはエンドツーエンドでの暗号化は行われていないという(ITmediaSlashdot)。

エンドツーエンド暗号化の定義としては、暗号化された情報を復号できる鍵は利用者(クライアント)のみが所有することになっている。しかし、Zoomのビデオ会議はTCP接続ではTLSを使い、UDP接続ではTLS接続でネゴシエートされたキーを使ってAESで暗号化していると答えた。これではエンドツーエンド暗号化の要件には当てはまらないことになる。

また、これ以外にもWindows版のクライアントには悪意のあるリンクをチャット画面に送信することで接続情報を奪うことができるという脆弱性が存在するという話や(Business Insider)、Mac版クライアントでは攻撃者が外部から管理者権限を取得できる脆弱性や、利用者の同意なしにカメラやマイクへのアクセス権を取得できるという脆弱性も存在するという(TechCrunchITmediaの別記事)。

  • by Anonymous Coward on 2020年04月03日 9時34分 (#3790448)

    脆弱性は順次対応してくれるんでしょうけど、設定しっかりしておかないと
    変な人、入ってきてアヤしい動画ながされたりするようですね

    https://jp.techcrunch.com/2020/03/18/2020-03-17-zoombombing/ [techcrunch.com]

    ここに返信
    • by Anonymous Coward

      https://f-secure.videosync.fi/cyber-security-covid-19?seek=557 [videosync.fi]

      セキュリティリサーチャーからもzoomのコンフィグについて
      啓蒙の情報発信が始まっているみたいですね。

      とりあえずパスなしでID公開して誰が入ってくるかもわからない
      ような状態だけは最低限回避した方がよいでしょう。

    • by Anonymous Coward

      結局暇人のおもちゃにされてるじゃんw
      急にラップ曲を大音量で流したり、ランダムな会議に参加して汚い言葉で妨害とかw

      Zoom Trolling
      https://www.youtube.com/playlist?list=PLJX1zLAUVVRLmN36H1zFxTLXHywgoZ7Zl [youtube.com]

    • by Anonymous Coward

      15年前のSkypeを思い出すな
      // インターネット老人会

      • by Anonymous Coward

        NetMeetingやるって!?
        1996年ぐらいに見知らぬ人とオンラインでつながって〇Xマルペケした。

        • by Anonymous Coward

          俺Internet Magazine創刊号のCU-SeeMe座談会に載ってるんだ

  • TLSの暗号化そのものも「セッション鍵」という「ネゴシエートされたキー」を使って暗号化しますし、類似技術であるSIP+SRTPもINVITEリクエスト(もしくはそれに対する200 OKレスポンス)でSRTPの鍵をやりとりします(RFC-4568, INVITEそのものはTLSで暗号化します)。

    どこらへんが「エンドツーエンド暗号化の要件には当てはまらない」んでしょうか?

    ここに返信
    • by Anonymous Coward on 2020年04月03日 8時30分 (#3790399)

      参加者とZoomのサーバの間の暗号化(Zoomはこれをエンドツーエンド暗号化と呼んでる)はされてても参加者と参加者の間が全部通しで暗号化(The Interceptはこれをエンドツーエンド暗号化と呼んでる)されてるわけじゃない。好きな方の定義を選んで。

      あと、SIP+SRTPでThe Interceptの言うエンドツーエンド暗号化された会議をやろうとするとメッシュ状に暗号化したセッションを張らなきゃいけないので大規模なのは大変。

      • by Anonymous Coward

        なるほど
        サーバーとユーザーの間しか暗号化出来ていないってタレコミに書かなきゃ何を言いたいのか分からんよね

        • by Anonymous Coward

          分からなかった時点でなぜソースを読まずに脊髄反射で書き込むのかが分からない。

      • by Anonymous Coward

        Zoomの場合、有料版の大きな機能として
        「クラウドレコーディング」(会議の内容をZoomが提供するクラウド上のスペースに録画する)があるんで、
        最初からZoomサーバー自身がクライアントとしても動作しないといけないってのもあるなあ。

  • by Anonymous Coward on 2020年04月03日 8時17分 (#3790395)

    Skype、Google使えよ…

    ここに返信
  • by Anonymous Coward on 2020年04月03日 8時24分 (#3790397)

    さあ出社する準備をするんだ

    ここに返信
  • by Anonymous Coward on 2020年04月03日 8時56分 (#3790415)

    ・エンドツーエンド暗号化ではない
     ⇒クラウドツーエンド暗号化である、Zoom側を信頼できなければ使えないという話。
      課題ではあるが、クラウドアプリのほとんどに当てはまる課題でもある。

    ・悪意のあるリンクをチャット画面に送信することで接続情報を奪う
     ⇒\\sample.com\hoge\fuga というハイパーリンクを踏ませて、ドメインにあたる
      サーバにwindowsの認証情報を送信させる手口のこと。
      ハイパーリンクを生成することが脆弱性にあたるとの指摘。
      ハイパーリンクがなくてもそもそも知らないサーバにアクセスに行っちゃだめ。

    覇権アプリ化が進んできたせいでいろいろ出てきてますけど、冷静に対処してほしいですね。
    他のアプリにしてもたたけばいろいろあると思うので、ここでしっかり対応できれば
    逆境がプラスになるでしょう。

    ここに返信
    • by Anonymous Coward on 2020年04月03日 9時28分 (#3790441)

      指摘の中にはその辺も含めて「言いがかり」に近い部分もあるんですが、それらも含めて
      https://www.itmedia.co.jp/news/articles/2004/03/news066.html [itmedia.co.jp]
      謝罪と新機能の開発を全て止めての修正を約束し、既に幾つかは修正済みとのことなので、頑張って欲しいですね。
      #しかし昨年末で約1000万ユーザーから3月時点で2億にまで増加って、インフラ担当的には悪夢としか言いようがない……。

      • by Anonymous Coward

        大ヒットしてサーバーの利用料がものすごいことになってしまったらしい
        Cookie Clickerを思い出してしまった

    • あるいはもうダメかもしれん
    • by Anonymous Coward

      この手のチャットアプリでエンドツーエンド暗号化って言ったら運営に盗聴されないことを意味してるから。
      詐称していることが問題なわけで実装されていないことが問題じゃないんだよね。

      なんでもかんでもTLS化してる時代にクライアント-サーバー間だけ暗号化してエンドツーエンド暗号化とか言って特徴になるとか思ってる時点でセキュリティリテラシが無い企業と言って良い。

      • by Anonymous Coward

        それが、Zoomはビデオチャットアプリでもテレビ電話アプリでもないんだよなあ……。

  • by Anonymous Coward on 2020年04月03日 12時43分 (#3790603)

    この手の会社にありがちな、「公式Webなのに会社概要かそれに類するモノがさっぱり見当たらない」ですね。
    よくこういう所のサービス仕事で使おうと思うなぁと関心。感心。奸臣。

    ここに返信
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...