Zoom 資安爭議懶人包,專家建議如何使用這套視訊會議服務較為安全

作者 | 發布日期 2020 年 04 月 07 日 17:00 | 分類 資訊安全 , 軟體、系統 , 雲端 follow us in feedly


武漢肺炎蔓延全球,為了減少外出而感染新型冠狀病毒的風險,各國紛紛採取在家上班、遠距教學等模式防堵疫情。由袁征(Eric S. Yuan)成立新創公司開發出的雲端視訊會議服務 Zoom,因視訊會議的功能完整、操作簡單而被廣為採用。不過近期頻頻爆出資安漏洞而登上新聞版面,加上中國背景,不免讓用戶起疑。

疫情讓 Zoom 一夕爆紅

袁征來自中國山東,27 歲時移民美國,同一年他加入企業視訊會議服務 Webex;Webex 在 2007 被思科(Cisco)收購,袁征順理成章地進入思科,並且成為工程部門副總裁。

到了 2011 年袁征離開思科,成立新公司 Zoom Video Communications Inc. 並擔任執行長。Zoom 在 2017 年 1 月估值達到 10 億美元以上,正式加入獨角獸俱樂部。到了 2019 年 3 月,Zoom 申請首次公開募股(Initial Public Offerings,IPO),並在同年 4 月 18 日以股票代碼 ZM 於美國那斯達克掛牌上市,上市首日股價大漲 72%,市值一度突破 200 億美元。

用戶運用 Zoom,可透過會議室系統、電腦與筆電、手機或平板來進行視訊會議、傳訊以及網路研討會。其中 Zoom 免費版最多支援 10 人進行 40 分鐘的視訊會議,成員可利用邀請網址或查詢會議 ID 的方式,邀請他人加入視訊會議;過程中可同時視訊通話與文字對話,可錄下視訊過程,還能共享螢幕畫面、甚至單獨分享某個軟體視窗來與他人互動。至於付費方案則支援更多人參加視訊會議,可設置會議主持人以及配置伺服器、串接 API 導入功能等,視企業需求來部署。

Zoom 一夕爆紅,袁征在官方部落格發文表示,截至 2019 年 12 月底,在 Zoom 進行免費與付費視訊會議的參與人數最多約有 1,000 萬;但到了 2020 年 3 月,每天已有超過 2 億的免費與付費用戶使用 Zoom。此外,行動版《ZOOM Cloud Meetings》近期則盤踞 Google Play 與 App Store 排行榜前幾名。

▲ 防疫期間,英國政府團隊利用 Zoom 召開每日的內閣會議,事後卻也遭受抨擊。

Zoom 資安漏洞頻傳

不過近年來,Zoom 不斷爆出資安漏洞,影響用戶安全。尤其今年因武漢肺炎疫情增加對 Zoom 的使用需求,卻因資安事件頻頻登上新聞版面。

資安專家 Jonathan Leitschuh 曾在 2019 年 7 月發文警告 Zoom 存在零日漏洞,允許任何網站在未經用戶許可的情況下開啟 Mac 電腦鏡頭、加入視訊會議;更糟的是移除 Mac 電腦上的 Zoom 應用程式後,仍在系統後台自動重新安裝,使用的是隱藏的 Web 伺服器。事後 Zoom 更新應用程式,修補漏洞並刪除隱藏的 Web 伺服器,從而完全解除軟體安裝。

國外媒體 Motherboard 在 3 月 26 日報導指出,iOS 版 Zoom 未在隱私條款詳細說明,就透過 Facebook 的 Graph API,將用戶數據包括 iPhone/iPad 型號、時區、城市、使用的電信商以及可用於廣告定位的唯一辨識碼等共享給 Facebook。雖然許多應用程式也都使用 Facebook 的 SDK(Software Development Kit,軟體開發套件),但不應該在用戶不知情的情況下共享數據,事後 Zoom 刪除 Facebook 的 SDK 並更新應用程式。

由於 Zoom 的會議 ID 容易被破解,使得用戶的視訊會議內容有被洩露的風險,這也導致所謂的「Zoom-Bombing」騷擾現象,即攻擊者惡意加入 Zoom 的視訊對話並且播出色情或令人反感的影音與圖片,甚至可以透過這種方式趁亂竊取 Zoom 用戶的 Windows 系統憑證。由於預設不用輸入密碼就能加入視訊對話,於是 Zoom 調整了教育帳戶的設定,以提升視訊過程的安全性與隱密性。

加拿大多倫多大學公民實驗室(Citizen Lab)最新報告指出,Zoom 有將資料送往中國伺服器的狀況,Zoom 官方則向國外媒體 TechCruch 表示袁征在官方部落格發文回應,因為近日連線需求大增,伺服器流量調配造成的設定錯誤。Zoom 稱其視訊會議採用 AES-256 加密標準,但研究人員卻指出實際上在 ECB(Electronic CodeBook,電子密碼本)模式下使用簡單的 AES-128 金鑰。Zoom 還聲稱使用點對點加密,但距離真正的點對點加密還有一段距離。

除此之外,Zoom 有著濃厚的中國色彩也引發質疑,雖然總部設於美國矽谷,但袁征過去受訪時透露,Zoom 研發團隊主要來自中國;該公司在募股書上宣稱,是考量中國較低廉的人力成本才這麼做,於中國的子公司至少雇用 700 名員工從事研發工作。但中國政府對於境內高科技公司掌控的程度可想而知,不免讓人對 Zoom 更起疑。

▲ Zoom 於中國的子公司。(Source:Spotlight

專家建議如何使用 Zoom?

美國聯邦調查局(FBI)日前已針對 Zoom 發出安全性警告,提醒用戶使用時應注意設定與規範;包括 SpaceX、NASA 等已對內部下達 Zoom 的禁用令,紐約市教育局也基於安全考量,指示各級學校暫停使用 Zoom。

中央研究院資訊科學所研究員陳伶志日前就發文建議 7 點 Zoom 使用措施,包括可從 Zoom 政府版網頁下載應用程式或瀏覽器擴充功能,並且隨時更新至最新版本。以專屬的帳號與密碼來註冊 Zoom,不要使用以 Facebook 或 Google 帳號登入的方式進行身分認證。使用時務必啟用內建的點對點加密功能,還有發起視訊會議時,務必設定會議密碼。

若對 Zoom 充滿疑慮,但又需要線上會議功能,陳伶志則建議改採 Cisco Webex、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting 以及開源服務 Jitsi Meet。

編按:經筆者再次查證,國外媒體 TechCruch 報導僅引述袁征在官方部落格對公民實驗室的回應並評論,以此修改內文敘述,感謝網友指正。(2020/04/08 AM 10:30)

(首圖來源:Zoom Blog

延伸閱讀: