【新聞教室】Zoom因加密不足與保安漏洞惹擔憂 什麼是Zoom炸彈?

撰文:凌俊賢
出版:更新:

受新型冠狀病毒肺炎(COVID-19)疫情影響,不少學生及打工仔都要留家中,轉為以視像會議軟件「Zoom」在網絡上課或開會。不過,軟件異軍突起同時,亦爆出不少安全漏洞,台灣政府、紐約市教育局、哈佛大學、Google及美國太空總署(NASA)等都相繼宣布禁用。究竟軟件本身有何問題?

Zoom:受新冠肺炎疫情影響,不少人都以視像會議軟件「Zoom」聯繫。圖為4月8日以色列3兄妹以Zoom與祖母聯。(Reuters)

Zoom炸彈(Zoom Bombing)

部分Zoom用戶稱,他們試過視像會議被陌生人「亂入」及搗亂,散播色情、反猶太、反同性戀及種族主義等訊息。

這類惡意行為被稱為「Zoom Bombing」,大部分是因為用戶不熟悉軟件操作,沒有將預設的公開模式改為私人模式。網絡安全研究員克雷布斯(Brian Krebs)指出,Zoom會議的ID容易被自動化工具發現,讓有心人不請自來闖入會議。

美國聯邦調查局(FBI)指出,接到馬薩諸塞州(Massachusetts)兩所學校有關Zoom的報告。其中一宗報告指,一名身份不明人士亂入網上授課大叫,並在過程中高喊老師的家庭住址;另一宗事件中,有人亂入後向鏡頭展示「納粹黨徽」(Swastika)標誌紋身。

Zoom:受新冠肺炎疫情影響,不少人都以視像會議軟件「Zoom」聯繫。圖為3月31日澳洲一名運動員以Zoom開會。(Getty)

視像會議紀錄任睇

《華盛頓郵報》調查發現,成千上萬的Zoom視像會議紀錄並未受到保護,更可在網絡上任人查看。報道指出,大量未被保護的內容中,包括討論個人身份信息、公司財務報表及各種企業會議等。

保安漏洞多多

軟件亦被發現有洩漏個人資料問題。只要用戶打開手機上的Zoom應用程式,軟件就會向Facebook傳送用戶時區、手機型號及硬件規格等資料。

Zoom又被發現兩個漏洞,其中一個漏洞或允許黑客控制用戶的麥克風及鏡頭;另一個漏洞使Zoom可以在MacOS上獲得部分用戶訪問權限。

Zoom:Zoom被發現有洩漏個人資料問題。圖為Zoom應用程式的標誌。(Reuters)

加密不足、未有「點對點」

加拿大多倫多大學的公民調查中心(The Citizen Lab)4月3日發表研究指出,Zoom的自家製系統加密有重大漏洞。研究指出,公司使用的加密鑰,部分來自中國服務器公司,只採用128位元的金鑰,與宣稱的256位元加密有出入。

Zoom又承認,目前的視像會議未能做到真正的「點對點加密」。公司承諾會提供有關技術 ,但該要在幾個月後才能使用。

Zoom:Zoom被爆出不少安全漏洞,多地與機構宣布禁用。圖為2019年4月18日Zoom在美上市。創辦人兼行政總裁袁征在紐約拍照。(Getty)

中國因素

Zoom又承認由於過去幾周的用戶急增,為應對流量上升,錯誤把用戶的會議分流到中國兩間數據中心處理。公司強調已盡快修正漏洞,但沒有指出有多少用戶受影響。但公民調查中心的報告則質疑Zoom是一間「擁有中國心的美國公司」,不排除Zoom可能會被中國政府的壓力左右,安全問題成疑,不建議涉及敏感資料的機構使用。

Zoom不時就種種問題解話、道歉並承諾作出改善,Zoom創辦人兼行政總裁袁征(Eric Yuan)4月4日在《華爾街日報》的訪問時稱:「若我們再次有差池,那就『玩完』了(If we mess up again, it's done)。」