Videoconferentiesoftware Zoom is ongeschikt om geheimen mee te bespreken. Daarnaast zit er een ernstig beveiligingslek in de wachtkamerfunctie, zo stellen onderzoekers in een vandaag gepubliceerd rapport. Zoom kwam de afgelopen weken wegens verschillende security- en privacyproblemen onder vuur te liggen. Het bedrijf beloofde daarop beterschap en bracht updates voor gevonden kwetsbaarheden uit.

Er zijn echter nieuwe problemen aanwezig, aldus onderzoekers van Citizen Lab, onderdeel van de universiteit van Toronto, dat onderzoek doet naar het gebruik van politieke macht in cyberspace. Deze week erkende Zoom dat het geen gebruikmaakt van end-to-end encryptie, terwijl het dit wel beweerde. Nu stellen onderzoekers van Citizen Lab dat ook een andere encryptieclaim van het bedrijf niet waar is.

Zoom stelt dat het AES-256 encryptie voor meetings gebruikt. Uit het onderzoek van Citizen Lab blijkt dat in elke Zoom-meeting door alle deelnemers een enkele AES-128 sleutel in ECB-mode wordt gebruikt voor het versleutelen en ontsleutelen van audio en video. "Het gebruik van ECB-mode wordt niet aangeraden vanwege patronen in de plaintext die tijdens de versleuteling bewaard blijven", aldus de onderzoekers.

Die ontdekten dat Zoom geen standaardprotocol gebruikt voor het versturen van audio en video, maar een eigen transportprotocol implementeert. Aan dit protocol heeft Zoom de eigen encryptie op een "bijzondere manier" toegevoegd merken de onderzoekers op. De encryptie en decryptie van Zoom maakt zoals gezegd gebruik van AES in ECB-mode, wat over het algemeen als een slecht idee wordt beschouwd, omdat bij deze vorm van encryptie invoerpatronen bewaard blijven, gaan de onderzoekers verder.

Daarnaast blijkt dat de AES-128 sleutels door Zoom-servers worden gegenereerd en in sommige gevallen via servers in China naar gebruikers worden gestuurd, ook al bevinden alle deelnemers aan de meeting zich buiten China. Daarnaast blijkt dat Zoom, een Amerikaans bedrijf, drie Chinese bedrijven van zo'n 700 medewerkers bezit, die worden betaald voor het ontwikkelen van de Zoom-software. Op deze manier zou Zoom geen Amerikaanse salarissen hoeven te betalen, terwijl het wel aan Amerikaanse klanten kan leveren. "Deze overeenkomst maakt Zoom gevoelig voor druk van de Chinese autoriteiten", aldus de onderzoekers.

Ongeschikt

In hun conclusie stellen de onderzoekers dat Zoom ongeschikt is om geheimen mee te delen. "Zoom is gebruiksvriendelijk en het aantal gebruikers is tijdens de corona-uitbraak snel gegroeid omdat "het gewoon werkt". De groeiende groep gebruikers, gecombineerd met marketingtaal over encryptie en security hebben veel gevoelige gesprekken aangetrokken. Deze plotselinge populariteit plaatst het product in het vizier van inlichtingendiensten en cybercriminelen."

Vanwege de gevonden veiligheidsproblemen, zoals de "dubieuze encryptie" en dat de sleutels voor het versleutelen en ontsleutelen van meetings naar China worden gestuurd, raden de onderzoekers het gebruik van Zoom af als de vertrouwelijkheid van de meeting belangrijk is. Het gaat dan bijvoorbeeld om overheden die zich zorgen over encryptie maken, bedrijven die bezorgd zijn over cybercrime en spionage, zorgverleners die gevoelige patiëntgegevens verwerken en activisten, advocaten en journalisten die aan gevoelige onderwerpen werken.

Afsluitend merken de onderzoekers op dat er een ernstige kwetsbaarheid in de wachtkamerfunctie van Zoom aanwezig is. Zoom biedt beheerders de optie om deelnemers aan een meeting eerst in een wachtkamer te zetten. Daarvandaan kunnen ze aan meeting worden toegevoegd. Details over de kwetsbaarheid zijn met Zoom gedeeld. Totdat er een update beschikbaar is wordt afgeraden de wachtkamerfunctie te gebruiken en in plaats daarvan de meeting met een wachtwoord te beveiligen. Zoom liet deze week weten dat het de komende negentig dagen geen nieuwe features zal ontwikkelen en zich volledig op het verhelpen van de security- en privacyproblemen zal richten.