Zoom 資安爭議懶人包，專家建議如何使用這套視訊會議服務較為安全

武漢肺炎蔓延全球，為了減少外出而感染新型冠狀病毒的風險，各國紛紛採取在家上班、遠距教學等模式防堵疫情。由袁征（Eric S. Yuan）成立新創公司開發出的雲端視訊會議服務 Zoom，因視訊會議的功能完整、操作簡單而被廣為採用。不過近期頻頻爆出資安漏洞而登上新聞版面，加上中國背景，不免讓用戶起疑。

疫情讓 Zoom 一夕爆紅

袁征來自中國山東，27 歲時移民美國，同一年他加入企業視訊會議服務 WebEx；WebEx 在 2007 被思科（Cisco）收購，袁征順理成章地進入思科，並且成為工程部門副總裁。

到了 2011 年袁征離開思科，成立新公司 Zoom Video Communications Inc. 並擔任執行長。Zoom 在 2017 年 1 月估值達到 10 億美元以上，正式加入獨角獸俱樂部。到了 2019 年 3 月，Zoom 申請首次公開募股（Initial Public Offerings，IPO），並在同年 4 月 18 日以股票代碼 ZM 於美國那斯達克掛牌上市，上市首日股價大漲 72%，市值一度突破 200 億美元。

用戶運用 Zoom，可透過會議室系統、電腦與筆電、手機或平板來進行視訊會議、傳訊以及網路研討會。其中 Zoom 免費版最多支援 10 人進行 40 分鐘的視訊會議，成員可利用邀請網址或查詢會議 ID 的方式，邀請他人加入視訊會議；過程中可同時視訊通話與文字對話，可錄下視訊過程，還能共享螢幕畫面、甚至單獨分享某個軟體視窗來與他人互動。至於付費方案則支援更多人參加視訊會議，可設置會議主持人以及配置伺服器、串接 API 導入功能等，視企業需求來部署。

Zoom 一夕爆紅，袁征在官方部落格發文表示，截至 2019 年 12 月底，在 Zoom 進行免費與付費視訊會議的參與人數最多約有 1,000 萬；但到了 2020 年 3 月，每天已有超過 2 億的免費與付費用戶使用 Zoom。此外，行動版《ZOOM Cloud Meetings》近期則盤踞 Google Play 與 App Store 排行榜前幾名。

This morning I chaired the first ever digital Cabinet.

Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp

— Boris Johnson #StayHomeSaveLives (@BorisJohnson) March 31, 2020

▲ 防疫期間，英國政府團隊利用 Zoom 召開每日的內閣會議，事後卻也遭受抨擊。

Zoom 資安漏洞頻傳

不過近年來，Zoom 不斷爆出資安漏洞，影響用戶安全。尤其今年因武漢肺炎疫情增加對 Zoom 的使用需求，卻因資安事件頻頻登上新聞版面。

資安專家 Jonathan Leitschuh 曾在 2019 年 7 月發文警告 Zoom 存在零日漏洞，允許任何網站在未經用戶許可的情況下開啟 Mac 電腦鏡頭、加入視訊會議；更糟的是移除 Mac 電腦上的 Zoom 應用程式後，仍在系統後台自動重新安裝，使用的是隱藏的 Web 伺服器。事後 Zoom 更新應用程式，修補漏洞並刪除隱藏的 Web 伺服器，從而完全解除軟體安裝。

國外媒體 Motherboard 在 3 月 26 日報導指出，iOS 版 Zoom 未在隱私條款詳細說明，就透過 Facebook 的 Graph API，將用戶數據包括 iPhone／iPad 型號、時區、城市、使用的電信商以及可用於廣告定位的唯一辨識碼等共享給 Facebook。雖然許多應用程式也都使用 Facebook 的 SDK（Software Development Kit，軟體開發套件），但不應該在用戶不知情的情況下共享數據，事後 Zoom 刪除 Facebook 的 SDK 並更新應用程式。

由於 Zoom 的會議 ID 容易被破解，使得用戶的視訊會議內容有被洩露的風險，這也導致所謂的「Zoom-Bombing」騷擾現象，即攻擊者惡意加入 Zoom 的視訊對話並且播出色情或令人反感的影音與圖片，甚至可以透過這種方式趁亂竊取 Zoom 用戶的Windows 系統憑證。由於預設不用輸入密碼就能加入視訊對話，於是 Zoom 調整了教育帳戶的設定，以提升視訊過程的安全性與隱密性。

加拿大多倫多大學公民實驗室（Citizen Lab）最新報告指出，Zoom 有將資料送往中國伺服器的狀況，Zoom 官方則向國外媒體 TechCruch 表示，因為近日連線需求大增，伺服器流量調配造成的設定錯誤。Zoom 稱其視訊會議採用 AES-256 加密標準，但研究人員卻指出實際上在 ECB（Electronic CodeBook，電子密碼本）模式下使用簡單的 AES-128 金鑰。Zoom 還聲稱使用點對點加密，但距離真正的點對點加密還有一段距離。

除此之外，Zoom 有著濃厚的中國色彩也引發質疑，雖然總部設於美國矽谷，但袁征過去受訪時透露，Zoom 研發團隊主要來自中國；該公司在募股書上宣稱，是考量中國較低廉的人力成本才這麼做，於中國的子公司至少雇用 700 名員工從事研發工作。但中國政府對於境內高科技公司掌控的程度可想而知，不免讓人對 Zoom 更起疑。

▲ Zoom 於中國的子公司。（Source：Spotlight）

專家建議如何使用 Zoom？

美國聯邦調查局（FBI）日前已針對 Zoom 發出安全性警告，提醒用戶使用時應注意設定與規範；包括SpaceX、NASA 等已對內部下達 Zoom 的禁用令，紐約市教育局也基於安全考量，指示各級學校暫停使用 Zoom。

中央研究院資訊科學所研究員陳伶志日前就發文建議 7 點 Zoom 使用措施，包括可從Zoom 政府版網頁下載應用程式或瀏覽器擴充功能，並且隨時更新至最新版本。以專屬的帳號與密碼來註冊 Zoom，不要使用以 Facebook 或 Google 帳號登入的方式進行身分認證。使用時務必啟用內建的點對點加密功能，還有發起視訊會議時，務必設定會議密碼。

若對 Zoom 充滿疑慮，但又需要線上會議功能，陳伶志則建議改採 Cisco WebEx、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting 以及開源服務 Jitsi Meet。

• Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings

• Zoom faces a privacy and security backlash as it surges in popularity

• Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account

• Zoom defends use of local web server on Macs after security report

（首圖來源：Zoom Blog）