原標《Zoom 資安事件追蹤》

文/資安解壓縮

前情提要 - 先前的爭議

Zoom 誇大自己的安全性

• 號稱所有服務皆使用點對點加密，實際上視訊與音訊並沒有 (新聞連結：The Intercept)
• 號稱使用 AES-256 加密法，實際上只使用了較弱的 AES-128 加密法 (新聞連結：Citizen Lab)

個資和隱私問題

• 未告知用戶便向 Facebook 傳送用戶數據 (新聞連結：Vice)。
• 透過中國伺服器傳送資訊，即便通話雙方都在北美洲 (新聞連結：Citizen Lab)

陌生人亂入視訊會議，引起 FBI 警告

會議預設為無密碼且會議 ID 簡單，讓有心人士可輕易購過自動化工具找到規則並亂入 (新聞連結：FBI )

爭議後續 - Zoom 的改善與回應

CEO 出面道歉 2020 4 月初

Zoom 宣布實施 90 天資安計畫
暫停所有新功能開發，優先改善資訊安全與隱私

新聞連結：Business Insider - Zoom’s CEO apologizes for its many security issues as daily users balloon to 200 million。

Zoom 5.0 發布 2020 4 月底

• 改用較好的加密法 (AES-256 + GCM 加密)
• 在視訊與音訊推出點對點加密
• 允許使用者選擇資料傳送的伺服器位置
• 改善會議流程安全性

  • 會議預設為需要使用密碼加入
  • 參加者須在等候室等待主持人同意才能加入會議
  • 主持人可以回報違規用戶給 Zoom 加以審查

Zoom 發行公告：Zoom 5.0 is here!

近期爭議

Zoom 公開表明會與政府機關分享用戶資訊

“Free users — for sure we don’t want to give [them] that, because we also want to work together with the FBI, with local law enforcement, in case some people use Zoom for a bad purpose.” - Zoom CEO Eric Yuan

(翻譯) “我們想與 FBI 或當地政府合作，因此我們並不打算提供免費用戶依些資安功能，以防有人利用 Zoom 來做壞事” - Zoom CEO Eric Yuan。

新聞連結：The Verge - Zoom says free users won’t get end-to-end encryption so FBI and police can access calls。

六四紀念活動遭中斷，帳戶遭封鎖

Zoom 承認在中國政府指使下，中斷兩起在 Zoom 上由非政府組織所舉辦的六四天安門紀念活動，並停用了數名活動發起人的帳號。

新聞連結：紐約時報中文網 - Zoom 暫停「六四」學運領袖帳號

反思

資安對 Zoom 只是附加功能而非必要，有別於其他大公司做法

對於免費用戶，Zoom 非但沒有要加密傳送的訊息以保障用戶隱私和安全，還直接表明要與政府機關分享資訊。除此之外 Zoom 與中國政府的互動令人擔憂，身為一間美國公司，為什麼對中國政府言聽計從?

2020.06.17 Update

Zoom 突然宣布即將提供點對點加密給免費用戶，條件為免費用戶需要提供額外個人資訊，像是以簡訊驗證身份 ，根據 Zoom 的說法，這樣做是為了避免有心人士大量註冊假帳號，濫用這些功能。免費用戶的點對點加密功能將於 7 月開始測試。Zoom 也將他們的點對點加密白皮書公開放在原始碼代管服務平台 GitHub 上。

以一個使用者的觀點來說，這是一個好消息，Zoom 開始重視免費使用者個隱私及安全絕對是朝著對的方向前進，雖然說有點晚，但總比沒有好。

※本文由 資安解壓縮 授權勿任意轉載，原文《Zoom 資安事件追蹤》

___________

你也有經驗想分享嗎？快來投稿賺稿費吧！

[elementor-template id="118812"]

這篇文章 【學長姐帶路】Zoom 資安事件追蹤 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。