Zoom 漏洞 | 捕夢網 Blog https://blog.pumo.com.tw 網路安全、資安服務、雲端主機、主機租賃、主機代管、虛擬主機、網站代管專家 Thu, 24 Feb 2022 02:47:54 +0000 zh-TW hourly 1 https://wordpress.org/?v=6.5.5 遠端辦公,也遠端洩漏個資? https://blog.pumo.com.tw/archives/1201 https://blog.pumo.com.tw/archives/1201#respond Tue, 31 Mar 2020 01:48:01 +0000 http://blog.pumo.com.tw/?p=1201 曾爆資安疑慮, Zoom 究竟能不能用?怎麼用比較安全,給你 7 點...

The post 遠端辦公,也遠端洩漏個資? first appeared on 捕夢網 Blog.

]]>
曾爆資安疑慮, Zoom 究竟能不能用?怎麼用比較安全,給你 7 點建議

由於近期新型冠狀病毒疫情的影響,許多會議的進行逐漸從面對面的方式,改為線上進行,因此視訊會議軟體也一躍成為當紅的遠端辦公軟體;其中 Zoom 這套軟體由於功能完整、視訊品質佳,同時操作介面簡單,加上搭配疫情所推出的一系列免費優惠方案,因此已迅速普及,成為全球最熱門的網路應用軟體。

Zoom 的資安議題

在過去幾年間,Zoom 這套軟體曾經因為資安事件,至少上了兩次新聞版面:

2019 年 Zoom 軟體在 Mac 電腦上被發現有資安漏洞,導致 Zoom 軟體可以在不須經過使用者同意下,自動開啟鏡頭(1)

Zoom 的安全威脅 — 使用者圖方便,不喜歡設定密碼(2)

但是,若進一步仔細探究上述資安事件的源頭,仍不外乎「軟體開發不周全引發漏洞缺陷」及「使用者貪圖使用方便性,致使有心人士有機可乘」兩大原因,而這兩項原因其實普遍存在多數的應用軟體中,只要開發商願意迅速修補漏洞,以及使用者充實自我資安意識,其威脅程度是可以大幅降低,不至於到不可用的地步的。

然而,Zoom 真正為人所擔心的地方,其實是其創辦人的背景有強烈的中國色彩,且其主要開發團隊皆在中國境內(3),而長久以來中國政府對於境內高科技公司的掌控與插手程度,讓人不免懷疑 Zoom 這套軟體是否也因此可能潛藏後門,或者存在尚未爆發的資安風險。特別是一些重要的會議若是透過 Zoom 進行,是否能確保會議內容的機密,更是大家關心的重點。

Zoom 不能用嗎?

在另一方面,Zoom 本身也展現極大的企圖心,希望證明軟體的資訊安全是值得信賴的。例如,在2019年5月7日,Zoom 在其官網上公布其政府版的軟體(Zoom for Government)已通過美國中央雲端軟體採購認證(FedRAMP),並獲得美國國土安全部採用作為視訊會議相關用途(4),該項認證需經過美國政府單位資訊部門詳細的風險評估與安全測試,因此足以證明其安全無虞。

除此之外,針對上述自動開啟鏡頭的資安議題,Zoom 團隊也在 2019 年 7 月便緊急進行程式修補,讓使用者可以在解除安裝 Zoom 時,能夠完全移除本地主機(Localhost)網頁伺服器;或者也可以透過程式的自動更新,刪除有安全疑慮的本地主機網頁伺服器(5),以果斷負責的行動展現其重視資安的程度。Zoom 也在官網上提供資訊安全白皮書,持續更新並公開 Zoom 在軟體安全上所做的努力。

怎麼用 Zoom 比較安全

由於 Zoom 仍是目前功能最全面,也是市場使用率最高的視訊會議軟體,雖然如上所述在資訊安全上仍有一些疑慮,但似乎又沒有十足的證據可以證明 Zoom 是不安全的軟體,因此現階段與其爭論 Zoom 是否安全,不如強化使用者的使用習慣,增添使用視訊會議時的資安防護,以下是幾點建議的措施:

1.使用 Zoom 進行會議時, 請務必啟用點對點加密 。(預設功能,請勿關閉)

2.建議從 Zoom 政府版網頁(6)下載軟體,並且隨時保持讓程式更新到最新版本。

3.在 Zoom 系統中註冊專屬的帳號,並且設定未曾使用過的專屬密碼, 請不要使用以既有 Facebook 或 Google 帳號登入的方式進行認證 。

4.舉行會議時, 請務必設定會議密碼 (最好每場會議都不一樣,且要注意密碼的強度),以防無關的第三人擅入;同時,會議主持人的密碼,也須避免重複使用,並注意密碼的強度。

5.邀請與會者時, 會議室的連結與會議密碼不要用同一封信寄出 ,如果是重要的會議,會議密碼應該採行其他的通訊方法告知。(例如電話簡訊或 Line 等)

6.在自己電腦的作業系統中, 另外開設一個只有一般權限的使用者帳號 ,並使用這個使用者帳號去參加 Zoom 會議,等會議結束後,再切換為原本的使用者帳號。

  1. 若為台灣學術網路使用者,可使用教育部提供的 Zoom 服務 ,其伺服器架設在教育部的機房,在資安管控上較可以信賴。

如果對於 Zoom 還是有疑慮怎麼辦?

資訊安全本身除了技術面外還存在更多的信任議題,而資訊安全的超前部署,也永遠是不嫌多的。如果對於 Zoom 的資訊安全還是心存疑慮,或者會議本身具有高度敏感性,建議可以改用其他的通訊或視訊會議軟體。例如,對於與會人數不多,不需要特殊會議功能(例如白板、投票、錄影等)的會議,可以使用 Line、Skype、Facetime 等軟體;對於跨單位、與會人數多或者需要特殊會議功能的會議,可以採用 Cisco WebEx、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting、以及開源的 Jitsi Meet 等軟體。

必須重申的是,在資訊安全的領域中,沒有任何軟體是保證安全的,在使用任何軟體時,使用者都需要保有資安意識 ,若有任何疑慮,或發現任何可疑現象,可以立即尋求資訊人員的協助,也唯有大家同心協力,才能讓整體的資訊服務更加便利與安全。

(本文獲作者中研院呂紹勳、陳伶志授權轉載。原文刊載於 Medium ,原標題:有關 Zoom 的資安疑慮與建議)

參考資料
1 鄧天心,新頭殼newtalk (July, 2019):驚爆資安漏洞!視訊會議軟體Zoom能偷偷開啟Mac.
2 Zak Doffman, Forbes (Jan 28, 2020): New Zoom Security Warning: Your Video Calls At Risk From Hackers — Here’s What You Do.
3 XY Wang, PANDA!YOO (March 10, 2020): Zoom! You are using the video conference application (mostly) developed by Chinese.
4 Priscilla Barolo, Zoom Inc. (May 7, 2019): Zoom Achieves FedRAMP Moderate Authorization.
5 李建興,iThome (July 10, 2019):Zoom緊急修正Mac客戶端漏洞,拿掉本地主機網頁伺服器.
6 Zoom or Government, https://zoomgov.com

 

原文出處:https://www.managertoday.com.tw/articles/view/59500

The post 遠端辦公,也遠端洩漏個資? first appeared on 捕夢網 Blog.

]]>
https://blog.pumo.com.tw/archives/1201/feed 0