Zoom đang định tuyến các cuộc gọi hội nghị truyền hình, khóa qua máy chủ ở Trung Quốc

Ứng dụng họp video có trụ sở tại Hoa Kỳ, Zoom, đã gây ra một cuộc tranh cãi mới khi các nhà nghiên cứu bảo mật từ Citizen Lab tại Đại học Toronto phát hiện ra rằng một số cuộc gọi Zoom đang được chuyển qua các máy chủ ở Trung Quốc, cùng với các khóa mã hóa và giải mã hội nghị được sử dụng để bảo mật các cuộc gọi đó.

Theo các nhà nghiên cứu, Zoom dường như sở hữu ba công ty ở Trung Quốc, qua đó ít nhất 700 nhân viên được trả lương để phát triển phần mềm của Zoom.

Nhóm nghiên cứu cho biết: “Zoom có thể tránh phải trả lương cho người Mỹ trong khi bán hàng cho khách hàng Mỹ, do đó làm tăng tỷ suất lợi nhuận của họ. Tuy nhiên, thỏa thuận này có thể khiến Zoom phải phản ứng trước áp lực từ chính quyền Trung Quốc”.

Trong quá trình phân tích, các nhà nghiên cứu bảo mật cũng đã xác định được vấn đề bảo mật với tính năng Phòng chờ của Zoom.

“Đánh giá rằng vấn đề gây rủi ro cho người dùng, chúng tôi đã bắt đầu quy trình tiết lộ lỗ hổng có trách nhiệm với Zoom. Chúng tôi hiện không cung cấp thông tin công khai về vấn đề này để ngăn nó bị lạm dụng”, nhóm cho biết trong một tuyên bố chi tiết vào thứ Sáu.

Cũng đọc: Ứng dụng Zoom dễ bị tấn công mạng, đưa ra lời khuyên về các biện pháp an toàn: CERT-Ấn Độ

Mặc dù ứng dụng Zoom chính (zoom.us) được cho là đã bị chặn ở Trung Quốc vào tháng 11 năm 2019, nhưng có một số công ty Trung Quốc bên thứ ba bán ứng dụng Zoom ở Trung Quốc (zoom.cn, zoomvip.cn, zoomcloud.cn).

Citizen Lab cho biết họ đã bắt đầu một quy trình tiết lộ có trách nhiệm với lỗ hổng Zoom over Waiting Room.

“Chúng tôi hy vọng rằng công ty sẽ nhanh chóng hành động để vá lỗi và đưa ra lời khuyên. Trong thời gian chờ đợi, chúng tôi khuyên những người dùng Zoom muốn bảo mật không nên sử dụng Phòng chờ Zoom”.

Việc sử dụng nhanh chóng các nền tảng hội nghị từ xa như Zoom mà không có sự kiểm tra thích hợp có khả năng gây rủi ro cho các bí mật thương mại, bí mật nhà nước và những người bảo vệ nhân quyền.

Citizen Lab cho biết: “Các công ty và cá nhân có thể lầm tưởng rằng vì một công ty được niêm yết công khai hoặc là một tên tuổi lớn, nên điều này có nghĩa là ứng dụng được thiết kế bằng cách sử dụng các phương pháp bảo mật tốt nhất. Như chúng tôi đã trình bày trong báo cáo này, giả định đó là sai”, Citizen Lab cho biết.

Một báo cáo của TechCrunch cho biết hôm thứ Bảy rằng Zoom đã “nhầm lẫn” cho phép hai trong số các trung tâm dữ liệu tại Trung Quốc của họ chấp nhận các cuộc gọi như một phương án dự phòng trong trường hợp tắc nghẽn mạng.

Cũng đọc: Zoom xin lỗi về các vấn đề riêng tư, thông báo đóng băng tính năng trong 90 ngày

“Trong các hoạt động bình thường, ứng dụng khách Zoom cố gắng kết nối với một loạt trung tâm dữ liệu chính trong hoặc gần khu vực của người dùng và nếu nhiều nỗ lực kết nối đó không thành công do tắc nghẽn mạng hoặc các sự cố khác, thì ứng dụng khách sẽ liên hệ với hai trung tâm dữ liệu thứ cấp ngoài danh sách của một số trung tâm dữ liệu thứ cấp như một cầu nối dự phòng tiềm năng cho nền tảng Zoom,” Eric Yuan, người sáng lập và CEO của Zoom giải thích.

Yuan đã xin lỗi về các vấn đề về quyền riêng tư và bảo mật hoặc “Zoom-bombing” được báo cáo trong ứng dụng của anh ấy. Ứng dụng này đã chứng kiến sự gia tăng về mức sử dụng trên toàn cầu khi mọi người làm việc tại nhà trong thời gian phong tỏa.

Bị Cục Điều tra Liên bang Hoa Kỳ (FBI) và các chuyên gia an ninh mạng chỉ trích vì thiếu quyền riêng tư và bảo mật của người dùng, các báo cáo trong tuần này đã tuyên bố rằng ứng dụng hội nghị truyền hình Zoom cũng dễ bị hack.

Giám đốc điều hành Zoom cho biết trong 90 ngày tới, công ty cam kết dành các nguồn lực cần thiết để xác định, giải quyết và khắc phục sự cố một cách chủ động hơn nhằm “duy trì lòng tin của bạn”.

Vào tháng 3 năm nay, cơ sở sử dụng trên Zoom đã đạt hơn 200 triệu người tham gia cuộc họp hàng ngày, cả miễn phí và trả phí.