从Zoom泄漏隐私事件,看Facetime、Skype等视频应用加密方案是否真的安全?

在冠状病毒流行期间备受关注的科技公司之一非 Zoom 莫属了,据近期报道,视频会议平台 Zoom 泄漏至少数千名用户个人信息,包括电子邮件地址和照片,陌生人可通过 Zoom 与其进行视频通话。此次泄漏问题出自 Zoom 的「公司目录」设置,如果他们使用共享相同域名的电子邮件地址进行注册,会自动将其他人添加到用户的联系人列表。很多 Zoom 用户表示,他们使用个人电子邮件地址进行注册,但是 Zoom 错误地将其作为公司邮件域名对待,从而让成千上万的个人邮件注册用户混合在一起,彼此公开了个人信息。

而随后也有用户指责 Zoom 未能端对端加密视频通话,进一步损害了用户的隐私。

什么是端对端加密?

端到端的加密方式是打乱了视频、音频和文本内容,只有发送方和预期接收方才能访问,而服务提供商没有办法对这些内容进行解密的。加密聊天内容实现的方式是:通过仅让参与的用户知道可以解密消息的密钥,让服务提供者将这些加密消息从发送者直接传递到接收者来实现的。不过据律动了解,目前市场上的大多数消息传递工具不能保证端到端加密,部分原因是出于执法方面的考虑,但也因为它可能会十分影响用户体验。例如,这种方案使得在各种设备上同步消息和集成第三方应用程序变得困难。

而对于视频和音频会议来说,端到端加密更是带来了更多挑战。为了实现这种方式,每个与会者的音频和视频流需要用自己唯一的密钥分别加密,然后发送给其他与会者。这就带来了一些问题,如扩展的数据包大小和加密/解密延迟会导致图像延迟和降低连接质量。去年 10 月,长期支持比特币的工程师詹姆森·洛普 (Jameson Lopp) 在 Twitter 上分享了一份电子表格,根据安全性、功能、可用性和其他标准,对大约 70 个通讯应用程序进行了评估。其中一些是当前被我们广泛使用的视频会议应用,包括 Zoom、Google Hangouts Meet、Slack、Facetime 以及 imassgae 等。

 

下面根据 Jameson Lopp 的报告,律动将会对市场上目前几种最流行的视频会议工具进行分析,让我们一起看看在隐私和安全方面可能没有完美的替代方法。

 

Zoom

首先,让我们回顾一下 Zoom 的问题。

 

视频会议应用程序一度被吹捧为比竞争对手提供更好的用户体验和视频质量。然而这种便利可能是以牺牲安全性为基础的。正如《拦截》(The Intercept) 所报道的,尽管 Zoom 声称它「使用端到端加密」来确保会议安全,但实际上,它指的是两个端点是用户和 Zoom 的服务器,而不是用户到用户这两个端。

 

换句话说,Zoom 所谓的加密其实是用户所发的消息只是在 Zoom 的媒体流在过渡期间将被加密了,但一旦它们通过 Zoom 的防火墙就会被解密。Zoom 然后重新加密这些媒体流,然后将它们发送给指定的接收人。也就是用户的信息发送到 Zoom 服务器,随后被解密,然后再由 Zoom 重新加密传给接受人。

 

这种做法被称为传输加密,被市场上的消息传递和视频会议工具广泛使用。Zoom 平台一个著名的功能就是可以录制视频然后发给其他会议参与者。然而,这个著名的功能也是前一阵让其备受诟病的原因:这种方式使用户暴露在与 Zoom 的服务器相关的潜在安全风险中,并损害了用户的隐私,因为 Zoom 可以查看所有的会议内容。

 

谷歌视频群聊见面(Google Hangouts Meet)

 

下面律动来看下另一个流行的视频会议服务 Google Hangouts Meet,它似乎不像 Zoom 那样宣传其使用端到端加密方式。G Suite 网站简单地说明 Google Hangouts Meet 中的所有视频和音频流都是加密的,但没有说明它们使用的是哪种加密方案。不过该网站在问答中指出,当只有两个用户时,可以建立点对点连接。该连接允许用户直接在彼此之间发送媒体流,避免将媒体流路由到谷歌的服务器。

 

不过,据律动了解谷歌在 2015 年向 Vice 承认,Google Hangouts Meet 没有使用端到端加密,而随后 Google Hangouts Meet 被指责加密设置不够清晰。虽然公开的信息很少,但从那时起,该公司似乎就没有开始实施端到端加密。

 

Skype

 

微软长期拥有的视频会议服务 Skype 在某种程度上确实有端到端的加密。在 2018 年,Skype 推出了私人通话功能,该功能允许用户通过部署 Signal 协议来持有音频通话和传输文件,这种协议也是 Signal 和 WhatsApp 用来保护信息的方式。

 

根据 Skype 关于这一功能的白皮书,私人音频通话的参与方必须首先发起一个私人会话。在会话期间,将共享随机生成的加密密钥,允许发送方加密和接收方解密音频流。但是,这种服务不适用于视频会议,Skype 视频会议仍然使用的是高级加密标准 (AES),这是美国政府在 2001 年建立的一种加密规范。

 

FaceTime

 

最后我们来 看 FaceTime 和 iMessage,目前这两个软件功能只对苹果用户开放,是为数不多的使用端到端加密的通信应用程序之一。律动获悉,也正是由于这一功能,苹果在 2016 年陷入了一系列法律纠纷,当时它拒绝向美国联邦调查局 (FBI) 提供 iPhone 的访问权。相信很多人应该还记得这个事件。

 

不过虽然 FaceTime 使用的是端到端的加密方式,但它也并不完美。2019 年 1 月,苹果公司不得不暂停所有群聊来修复一个漏洞,这个漏洞允许用户在对方接听电话之前可以就可以窃听对方的声音。

 

此外,尽管通过 iMessage 发送的消息也是端到端加密的,但一旦上传至 iCloud 进行备份和同步,苹果仍然可以访问这些消息。根据路透社最近的一份报告,苹果公司也考虑对 iCloud 上的所有备份数据进行端到端的加密。不过律动了解到,在联邦调查局的压力下,它最终在两年前放弃了这个计划。也就是说目前只要用户一旦将信息上传或者同步到云端的话,那么此前的加密信息也就不是完全安全的了。

 

说到这里我们也必须承认,其实端到端加密并不保证完全的安全和隐私。至今为止该方案仍然存在各种漏洞,比如律动在前面提到的云备份问题,以及消息应用程序可以收集来揭示用户个人信息的元数据。

总结

对于那些在家工作的人来说,围绕视频会议服务的安全问题仍然是首要问题。虽然 Zoom 现在是被放到了显微镜下,人人都已经意识到了使用 Zoom 可能带来的隐私安全问题,但是这对大多数人来说还是一个个例一样的存在,Zoom 的竞争对手们的安全方案其实面临同样的安全问题。如何有效的解决它?或者我们是否需要完全的隐私,仍是当前社会一直无法停止的论题。

本文由律动BlockBeats授权翻译并整理,如需转载本文,请附带本文超链接:https://www.theblockbeats.com/news/14991

原文地址:https://www.theblockcrypto.com/daily/60691

区块律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。    

加密技术 谷歌 facetime 科普