由於武漢肺炎疫情使得許多包含職場在內的公共空間關閉,使得可以在家進行會議的軟體 Zoom 受惠大紅,過去一個月的每日流量成長了 535%,但安全研究人員卻認為 Zoom 是一場隱私安全災難。公民實驗室(Citizen Lab)的研究指出,使用的是非標準加密類型,而且會把資料傳往中國。對此,Zoom 的執行長袁征表示,儘管 Zoom 最近存在安全問題,但它的立意是良好的,目前 Zoom 已經暫緩腳步,專注於隱私和安全性。
根據分析公司 SameWeb 的數據,3 月 Zoom.us 下載頁面的每日流量成長了 535%。而根據 App 分析公司 Sensor Tower 的數據,Zoom 在 iPhone 的下載量在美國近幾週最多的。甚至包括英國首相首相強生(Boris Johnson)和美國前聯邦準備理事會(Fed)主席葛林斯潘(Alan Greenspan)在內的政治人物和其他知名人士,也都使用 Zoom 在家工作並進行會議。
不過研究人員卻發現,即使 Zoom 會議中的所有人都在中國境外,Zoom 也會把資料傳往中國。研究報告說:「在北美的多次測試通話中,我們觀察到加密和解密的金鑰會傳到中國北京的伺服器。」是一家典型的「安著中國心臟的美國公司」。此外,根據調查新聞網站「攔截」(Intercept)的報告,Zoom 謊稱自己使用了點對點加密技術(End-to-End Encryption,E2EE),點對點加密是一種確保通訊安全的系統,因此只有相關用戶才能讀訊。但是,Zoom 在自己部落格文章中承認,目前無法進行點對點加密,並為之前「不正確」的宣傳導致的「混亂」表示歉意。
另一方面,最近已有許多報告指出 Zoom 有安全漏洞。在 2019 年 Zoom 被發現在用戶設的設備上偷偷安裝隱藏的網頁伺服器(Web Server),可以允許他人在未經許可的狀態下呼叫用戶。而本週發現的漏洞可以讓駭客接管 Zoom Mac 版用戶的硬體,包括網路攝影機和麥克風。也因此,Zoom 一直是騷擾者的目標,騷擾者利用這些漏洞會突然出現在別人的會議中,這也被稱為 Zoombombing。普林斯頓大學電腦科學副教授 Arvind Narayanan 表示,雖說 Zoom 表示已經發布了修復 Mac 問題的版本,但是在過去 Zoom 的安全問題程度跟惡意軟體差不多。他說:「簡單講,Zoom 就是惡意軟體。」
因此,研究人員警告說,政府單位在會議上使用 Zoom 可能不明智,並警告說 Zoom 可能不適用於:(一)政府和企業擔心間諜活動的單位(二)醫療保健單位處理敏感患者資訊的組織(三)社運者、律師和新聞工作者會從事敏感話題的人。
由於到處有安全性問題, Zoom 在 4 月 2 日宣布將暫停功能更新 90 天,以專注於隱私和安全性的改善。執行長袁征說:「我們的步伐太快了……我們有些失誤。我們已經吸取了教訓,並已退後一步,專注於隱私和安全性。」袁征出生於中國山東泰安,1997 年 8 月第九次簽證申請成功後,來到美國工作,2011 年創立 Zoom。
參考來源:
2020/04/03 BBC Zoom ‘unsuitable’ for government secrets, researchers say
2020/04/02 The Guardian ‘Zoom is malware’: why experts worry about the video conferencing platform
2020/04/05 The Verge Zoom CEO responds to security and privacy concerns: ‘We had some missteps’