武漢肺炎 (Covid-19) 疫情爆發,不少中小學校、大學以及公司均轉用通訊軟件 Zoom 作視像會議或用以授課。外媒 The Intercept 發現,Zoom 並非如網站及文件所指,支援點到點加密 (end to end encryption)。
通訊軟件使用不僅需要考慮到流暢度,還需要一定加密性,以確診重要資料及個人私隱不會外洩。一般此類通訊軟件都會採用點到點加密,確保指通訊內容只可由用家雙方(或多方)接觸到,軟件公司不能開啓到相關內容。日常生活常用的 Whatsapp 或 Signal 就是以點對點加密保護用戶通訊。
Zoom 同樣在其網站及保安白皮書上聲稱軟件支援點到點加密,以確保用戶私隱得以保障。不過,The intercept 向 Zoom 查詢時,該公司發言人則表示,現時未能為視像會議提供點對點加密。實際上 Zoom 在視像會議採用的是一種名為傳輸層安全性協定 (Transport Layer Security, TLS) 的加密方法。此加密方法只確保用戶數據傳輸至 Zoom 期間被加密。
不過 Zoom 就否認該公司有誤導用家,並指他們所指的「點對點」是指 Zoom 程式兩端傳輸已被加密 (it is in reference to the connection being encrypted from Zoom end point to Zoom end point) 。約翰·霍普金斯大學密碼學家及電腦科學家 Matthew Green 就指出,視像會議本身較難以作點對點加密,關鍵是軟件需要判斷到哪個用家在說話。他舉例,蘋果的 FaceTime 就做到點對點加密通訊。
Green 認為 Zoom 對於他們所指的點對點加密說法有點模糊,並認為此舉有點「不誠實」,應用直接向用家指未能做到相關加密。The Incept 解釋,由於 Zoom 視像會議並非點到點加密,該公司實際上有能力去暗中監視用家私人會議,並將相關資料給予相政府部門或執法機構。他們亦未有如微軟、Facebook 及 Google 般公開列明哪國政府曾多少次索取用家資料 。本月 18 日,人權組織 Access Now 就發表公開信,要求 Zoom 公佈這些資料,以讓用家知悉他們的資料是否受保障。The Intercept 指,Zoom 軟件現時只做到會議內文字通訊加密,而 Zoom 亦稱他們未有相關鑰匙解密數據。
較早前 Consumer Reports 就發現 Zoom 的私穩條款中,與其他公司類近,都是指自己會將收集到的個人資料數據與第三方分享,當中包括廣告商。不僅如此, Zoom 的條款更容許他們分享用戶內容 (Customer Content) ,包括雲端儲存的錄音、即時通訊、文件,白板等。英國國防部上周就表明,因應 Zoom 的保安問題,並不鼓勵用家使用 Zoom 。
Zoom 是由前 Cisco 工程部門副總裁袁征創立,在此之前他曾負責 Cisco 通訊軟件 WebEx 開發。
參考資料:
Consumer Reports, Zoom Calls Aren't as Private as You May Think. Here's What You Should Know, 30 March 2020
The Intercept, Zoom Meetings Aren’t End-To-End Encrypted, Despite Misleading Marketing, 31 March 2020
文/Edward Ho、審核/Anita Chow
守護言論與新聞自由。立場新聞,寸步不退。
每月贊助支持立場新聞
