Leverandøren av videomøtetjenesten Zoom, Zoom Video Communications, har flere datasenterregioner globalt som samtalene rutes gjennom på veien mellom de ulike deltakerne. For tiden har Zoom gruppert datasentrene til selskapet i regionene USA, Canada, Europa, India, Australia, Kina, Latin-Amerika og Japan/Hongkong.
Hvite- eller svartelisting av regioner
Fra og med den 18. april åpner selskapet for at møteledere hos betalende kunder skal kunne velge hvilke datasenterregioner som skal kunne brukes for sanntidstrafikk. Alternativt kan de samme møtelederne spesifisere datasenterregioner som ikke skal brukes.
Reuters: Enkelt å kompromittere forsyningskjeden til elektronikk
Det er likevel ikke mulig å velge bort eller endre det som er standardregionen knyttet til en konto. I de fleste tilfeller vil dette være USA.
Gratisbrukere av Zoom kan ikke spesifisere region. Kontoen til de fleste gratisbrukere er knyttet til USA-regionen, og Zoom Video Communications understreker at ingen kontoer registrert på utsiden av Kina, er tilknyttet selskapets kinesiske datasenterregion.
Sendt via Kina
Denne endringen er blant flere som Zoom har gjort eller planlegger etter at forskere ved University of Toronto i begynnelsen av april presenterte flere sikkerhetssvakheter i Zooms infrastruktur, inkludert at samtaler eller kryptonøkler utvekslet mellom ikke-kinesiske kunder, har blitt sendt via Zooms kinesiske infrastruktur.
Zoom Video Communications reagerte raskt på dette. Problemet ble forklart med at et par Kina-lokaliserte servere ved en feil hadde kommet med på en hviteliste i «geofencing»-løsningen som skulle forhindre at samtaler mellom ikke-kinesisk brukere ble rutet om Kina. Som så ofte tidligere, er det hastverket knyttet til den sterke veksten til Zoom-tjenesten som oppgis som begrunnelse for feilen.
Selskapet skal den 3. april i år ha fjernet alle dets de HTTPS-tunneleringsserverne det hadde i Kina, for å unngå uønskede forbindelser via Kina.
Svak kryptering
I rapporten fra de canadiske forskerne pekes det også på at krypteringsnøkler som i alle fall tidligere ble brukt til å kryptere samtalene, i noen tilfeller ble generert på servere i Kina. Zoom Video Communications har flere kinesiske datterselskaper som kan være forpliktet til å oppgi disse nøklene til kinesiske myndigheter.
I tillegg ble det påpekt at krypteringsnøklene var basert på usikker teknologi, nærmere bestemt AES 128 i ECB-modus (Electronic Codebook).
Zoom Video Communications har lovet å få på plass bedre krypteringsløsninger, trolig i løpet av den 90 dager lange perioden selskapet nå har satt av til å fokusere på personvern og sikkerhet, blant annet i samarbeid med eksterne eksperter.
Svensk politi til stede: Undersøkte kinesisk skip mistenkt for kabelbrudd