為何被台灣政府禁用?整理 Zoom 四大資安爭議!
有部份中資背景和大量中國境內員工、但選在美國上市並以美國為主要市場的遠距視訊軟體 Zoom,近期因資安問題連爆引發關注,除美國紐約各校,以及哈佛大學、NASA 等單位已宣佈停用,台灣更直接宣佈行政機關、各校不應使用。不過 Zoom 的資安爭議究竟包括哪些項目,是否有必要連機密程度不高的教學課程也全面禁用?以下則是 Zoom 近期主要的資安疑慮:
一、Zoom Bombing
許多使用 Zoom 的用戶發現,自己的視訊會議會莫名被陌生人「亂入」,進而讓會議流程被搗亂。不過此一狀況其實與 Zoom 預設會將會議設定為無密碼,藉此讓參與者可以輕鬆登入有關,因此與其說是資安議題,更多是軟體設計的問題。用戶實際上也只要設定登入密碼,就能輕鬆迴避。
但 Zoom 在「Zoom Bombing」還有一項設計缺失,是 Zoom 的會議ID 設計太簡陋,容易被自動化工具發現規則,讓有心人士可以快速找到進行中的 Zoom 會議並亂入。
二、個資使用問題
由於使用 Facebook 的 SDK,即使用戶沒有 Facebook 帳號,只要用戶打開 Zoom 的手機端 App,Zoom 就會向 FB 投遞用戶的個人化資料,包括時區、手機的型號與硬體規格、Zoom 的開啟時間,以提升個人化廣告的成效。儘管此一狀況因 Facebook SDK 相當流行,在不少 App 中都會出現,但一般都需要用戶允許,但 Zoom 則相當潦草地跳過了這一過程。
Zoom 目前則宣佈將推出新版,修正這項問題。
除了 Facebook,LinkedIn 也有類似狀況。《紐約時報》爆料,當用戶登入 Zoom 的會議之後,Zoom 就會自動將用戶的名字、Email 等資料與 LinkedIn 配對,甚至在用戶使用暱稱或假名進入會議時也能瞬間配對,而這會讓其他訂閱了「LinkedIn Sales Navigator」服務的用戶,可以查看 Zoom 會議參加者的 LinkedIn 個人資料。儘管這些資料在 LinkedIn 上是公開的,但仍明顯是潦草使用用戶個資的行為。
另外因不明原因,資安公司 Sixgill 發現有多達 352 組的 Zoom 帳號密碼,以及相關的會議ID、用戶姓名等個資,都被放上暗網出售,其中更包括付費帳戶,亦突顯了 Zoom 的個資管控問題。
三、軟體本身問題
Zoom 的此類問題其實狀況不少,如因為濫用 Mac 的某項系統功能,悄悄用非正常方式跳過 Mac 管制,手法與許多惡意軟體相同,甚至弄出了兩個 Mac 零日漏洞;Mac 版 Zoom 在去年也曾被爆出一項重大漏洞,可以未經同意就將用戶連結到特定的 Zoom 視訊會議,並開啟 Mac 的鏡頭(已被蘋果修正)。
其他缺失,還包括用戶可以輕易在 Google 搜尋引擎,找到部份會議的視訊內容,或是 Windows 版用戶如果在聊天室傳送特定字串,會產生一個特殊的 Windows 連結,可能讓電腦因此被遙控。
也有研究員發現,即使用戶是在北美,Zoom 還是會有由位處中國的伺服器傳輸資料的情形。不過 Zoom 指出,是因近期用戶大增,才從中國調用伺服器備用,目前也已關閉這一設定。
四、在資安設計上說謊
儘管宣稱自己在所有應用程式層面,採用 256 位元 AES 加密,但多倫多大學的研究員卻發現,其視訊會議其實只採用 128 位元的金鑰,來加密用戶的視訊會議或錄音檔。
另外,外媒《The Intercept》也發現 Zoom 的資安白皮書宣稱自家軟體支援了點對點加密(End-to-End Encryption),但實際上點對點加密僅在聊天室上實現,最重要的視訊會議則沒有,而 Zoom 隨後亦坦言了此一狀況。
儘管目前相關設計並未直接導致資安問題,但在重視誠信與資安的歐美市場,Zoom 的此一動作預料將引來更大的信任風波。整體來說,Zoom 的資安問題有不少屬於「設計瑕疵」,和許多人認為的,會在視訊時直接將攝錄的內容曝光或被駭入相當不同。至於有著前述問題的 Zoom 是否該拿來使用,則屬見人見智,但教育部則建議,可採用微軟 Microsoft Team,或是 Google Hangout 等產品來代替。