僅僅一週,視訊會議軟體Zoom的品牌形象,就從高峰跌至谷底,2億日活躍用戶的輝煌可能不保。
被讚揚通訊品質穩定的Zoom,因疫情禁足令,遠距工作與在家學習的需求大增,而成為全球最火爆的公司,市值翻漲兩倍,更令來自中國山東的Zoom創辦人兼CEO袁征,一舉登上《福布斯》雜誌2020年4月號封面。
豈料卻在風光無限的同時,Zoom被眾多媒體及資訊安全專家踢爆內藏資安漏洞,從此深陷安全與隱私的泥沼。
先是Motherboard網站披露,使用者在毫不知情的狀況下,就被Zoom把個資共享給了臉書。
接著,網友在社群媒體上大吐苦水,有人竟可以在未被邀請的情況下參與Zoom的視訊,這些「不速之客」故意大吼大叫、播放歌曲,迫使會議或教學中止。這種惡搞行為被稱為「Zoom炸彈」(Zoom-bombing),起因是Zoom軟體的預設設置不夠周延。
其他質疑還包括,Zoom宣稱視訊使用了點對點加密,但實際情況並非如此。加拿大多倫多大學公民實驗室(Citizen Lab)的研究人員也在4月初披露,Zoom軟體偶爾會將包含加密金鑰的資料發往中國大陸的伺服器,即使用戶身在北美。
細看之下,Zoom的資安漏洞大大小小,確實匪夷所思。日前,英國首相強森在推特上分享了「the first ever digital Cabinet」的螢幕截圖,圖片顯示多位官員在使用Zoom進行視訊會議,竟曝光了詳細的會議代碼及閣員的登錄ID,各界嘩然之下,把Zoom進一步推向風口浪尖。
英國首相強森與多位官員使用Zoom進行視訊會議。取自@BorisJohnson twitter
美國NASA禁用,中華電信停售Zoom產品
正因種種資安疑慮,美國太空總署NASA和SpaceX迅速宣布禁止使用Zoom。美國聯邦調查局(FBI)也發布了一則關於Zoom的警告,提醒用戶不要在該網站上進行公開會議或廣泛分享連結,以防機密資訊被駭客獲取。
就連行政院也已通函各公務機關及特定非公務機關,不應使用包含Zoom在內等有資通安全疑慮的產品。教育部並通知各級學校,停止用Zoom進行遠距教學。中華電信則是緊急停售Zoom產品,協助客戶移轉至微軟Teams產品做為替代方案,直到Zoom產品台灣代理商、百商數位科技釐清種種疑慮為止。
但,使用Zoom以外的視訊軟體,就能保證會議內容不會外洩嗎?
檢測四大視訊軟體:Zoom、WebEx、Microsoft Teams、訊連U會議
資策會資安所特別針對台灣常用的四大視訊軟體Zoom、思科WebEx、Microsoft Teams、訊連U會議,進行程式檢測,結果發現只有訊連U迄今未曾有相關弱點被公布。針對這項結果,微軟緊急發布澄清,指出Teams在2019年曾被偵測出的一個安全性弱點,已被修復。
「這些問題是軟體裡面普遍存在的狀況,」趨勢科技資深技術顧問簡勝財指出,其實視訊軟體出現漏洞,並非疫情期間的單一事件,2019年早已出現過,也皆已被原廠修復。
KPMG安侯企管執行副總經理謝昀澤則提醒,雖然Zoom已經開始著手進行修補方案,但目前為止仍未完全解決,使用所有工具都要提高警覺。
使用視訊開會或教學,已是傳染病全球大流行之下的剛性需求,如何才能確保安全及隱私?
Zoom創辦人兼CEO袁征。取自@zoom_us twitter
遠端會議三階段安全管控,避免機密外洩
謝昀澤建議,企業使用遠端會議系統,可分「會議前」「會議中」及「會議後」三大階段進行管控。
首先在會議之前,依據會議的內容進行分級,例如區分為「普通」「敏感」及「機密」等不同等級。除了讓與會者了解本次會議的機密等級外,更能避免自己的遠端會議內容被外人一覽無遺。
「太機密的會議,不適合用遠端視訊會議軟體,」謝昀澤強調,因為即使有辦法控制網路加密和認證與會人員,「但無法保證的是,遙遠那一邊的與會人士身旁有沒有其他不明人士旁聽,或是偷錄音。」
同時,開會前千萬牢記,隨時將遠端會議軟體更新到最新版本,避免用到還有漏洞的軟體。
當視訊會議要開了,會議的主持人責任重大,要提醒所有的與會者是否可以錄音錄影,同時針對視訊軟體進行安全設定,比如,啟用會議密碼以限制參與人員,而且「不」重複使用相同進入碼及會議室編號。此外,還可以設定「背景虛化」的功能,也就是會議當中看得到人,但是看不到人背後的場景。
為會議把關,部份軟體提供了「等候室」的功能,亦即與會者登入之後,要先在等候室裡面等候,獲得主持人同意才可以進入會議,如此一來,可以避免不相干人士闖入。
若要在會議中分享檔案,不妨啟用檔案傳輸的加密功能。特別還要注意,「不」使用免費不明的無線網路資源進入遠端會議,才能讓會議更放心。
等到會議結束後,切記不要在網路上揭露會議過程,不然就會像強森的經歷一樣,祕密就此「在網路上裸奔」。
延伸閱讀:
