Zoom 的安全性隱患

肺炎疫情下,各國推行社交距離 (Social distancing) 措施,Zoom 這個視訊會議軟件突然興起,從去年 12月 1000 萬用戶,暴漲到現在的 2 億用戶,用戶數暴漲同時,帶來對 Zoom 安全性的質疑。早前 FBI 發出關於 Zoom 的安全性警告,而政府機構和大公司如 SpaceX 和 NASA 下令禁用 Zoom。

先說一個比較有趣的問題:Zoombombing,有人把它直譯為 Zoom 轟炸,也有人意譯為惡作劇攻擊。簡單來說,Zoombombing 即在會議有不明人士加入,並在中途作出惡作劇如大聲叫囂、分享色情內容等。Zoombombing 的出現,可能是會議的連結不小心外流,或有人故意把連結貼到網絡上,阻止會議有效地進行。見過有 YouTuber 嘗試混入不同的會議做出惡作劇,當然搞笑。這個似乎不是一個 Zoom 的安全性問題,反而是會議主持人要學怎樣去設定 Zoom,利用現有的功能,以防不明人士加入。

Zoom 的最主要安全隱患是它聲稱的點對點加密 (End-to-end encryption),並不是真正的點對點加密 (報道)。首先,什麼是點對點加密?一些比較安全的通訊軟件如Whatsapp、iMessage、Signal 等都支援點對點加密,加密鑰匙在客戶端生成,由客戶端加密數據 (例如你的訊息),然後傳送到另一客戶端,由另一客戶端解密,即使過程當中數據經過伺服器,但由於伺服器沒有加密鑰匙,它只知道已加密的數據。而 Zoom 聲稱支援點對點加密,但據 Zoom 的發言人解釋,她們「點」的意思,是 Zoom 的伺服器,即 Zoom 伺服器之間的傳輸是加密的,但技術上這並不是點對點加密。事實上,Zoom 加密鑰匙由伺服器生成,並儲存在其伺服器,在有政府要求下,Zoom 本身有能力把數據解密。可能有些情況,你認為數據沒有不可告人的秘密,例如上課和社交聊天,因此沒有點對點加密的必要。但對於一些可能透過視訊會議討論敏感資料,例如商業機密、政府機密的公司或政府機構,點對點加密是必須的,這是為什麼 SpaceX 和 NASA 會實行禁用令。

在政府要求下,如果 Zoom 能堅拒協助解密,正如 Apple 拒絕協助 FBI 解密,那樣便可放心使用,但 Zoom 另一個受人質疑的是她那中國色彩濃厚的背景。Zoom CEO 袁征 Eric Yuan 於中國山東出生,並於山東科技大學畢業,90 年代移居到美國,於 2011 年創辦 Zoom,Zoom 公司很多的研發和開發人員都在中國。有報導指 Zoom 會把數據和加密鑰題傳送到中國的伺服器,Zoom 方面亦承認了此事,解釋說用戶急增,因此把數據分流到中國數據中心處理。有些人覺得這個解釋很牽強,更令人擔心的是,中國法律下中國政府可要求任何人交出所有數據(包括密碼),即使 Zoom 如何有商業道德,她也無法不屈服交出數據給中國政府。

Zoom 有什麼代替品呢?Microsoft Teams 是其中之一,當然她同樣不支援點對點加密,但是美國公司或政府機構會偏向相信 Microsoft 這歷史悠久的美國科技公司,能合理地處理好敏感資料。現在找到唯一支援群組視訊會議的,就只有 Apple 的 FaceTime 了,這也是一個不錯的選擇。

但其實視訊會議是否必要,我一直都有疑問,難道電郵、訊息、通電話就不可以,起碼我覺得視訊會議很多情況是不必要的,且沒有工作效率,Zoom 等的視訊會議是否只是一個潮流?我認為把面對面的會議,硬要直接套用在遙距的工作模式,變成視訊會議,是懶惰,是一個沒有經過精心設計的工作系統。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s