【新聞教室】Zoom因加密不足與保安漏洞惹擔憂　什麼是Zoom炸彈？

受新型冠狀病毒肺炎（COVID-19）疫情影響，不少學生及打工仔都要留家中，轉為以視像會議軟件「Zoom」在網絡上課或開會。不過，軟件異軍突起同時，亦爆出不少安全漏洞，台灣政府、紐約市教育局、哈佛大學、Google及美國太空總署（NASA）等都相繼宣布禁用。究竟軟件本身有何問題？

Zoom炸彈（Zoom Bombing）

部分Zoom用戶稱，他們試過視像會議被陌生人「亂入」及搗亂，散播色情、反猶太、反同性戀及種族主義等訊息。

這類惡意行為被稱為「Zoom Bombing」，大部分是因為用戶不熟悉軟件操作，沒有將預設的公開模式改為私人模式。網絡安全研究員克雷布斯（Brian Krebs）指出，Zoom會議的ID容易被自動化工具發現，讓有心人不請自來闖入會議。

美國聯邦調查局（FBI）指出，接到馬薩諸塞州（Massachusetts）兩所學校有關Zoom的報告。其中一宗報告指，一名身份不明人士亂入網上授課大叫，並在過程中高喊老師的家庭住址；另一宗事件中，有人亂入後向鏡頭展示「納粹黨徽」（Swastika）標誌紋身。

視像會議紀錄任睇

《華盛頓郵報》調查發現，成千上萬的Zoom視像會議紀錄並未受到保護，更可在網絡上任人查看。報道指出，大量未被保護的內容中，包括討論個人身份信息、公司財務報表及各種企業會議等。

保安漏洞多多

軟件亦被發現有洩漏個人資料問題。只要用戶打開手機上的Zoom應用程式，軟件就會向Facebook傳送用戶時區、手機型號及硬件規格等資料。

Zoom又被發現兩個漏洞，其中一個漏洞或允許黑客控制用戶的麥克風及鏡頭；另一個漏洞使Zoom可以在MacOS上獲得部分用戶訪問權限。

加密不足、未有「點對點」

加拿大多倫多大學的公民調查中心（The Citizen Lab）4月3日發表研究指出，Zoom的自家製系統加密有重大漏洞。研究指出，公司使用的加密鑰，部分來自中國服務器公司，只採用128位元的金鑰，與宣稱的256位元加密有出入。

Zoom又承認，目前的視像會議未能做到真正的「點對點加密」。公司承諾會提供有關技術 ，但該要在幾個月後才能使用。

中國因素

Zoom又承認由於過去幾周的用戶急增，為應對流量上升，錯誤把用戶的會議分流到中國兩間數據中心處理。公司強調已盡快修正漏洞，但沒有指出有多少用戶受影響。但公民調查中心的報告則質疑Zoom是一間「擁有中國心的美國公司」，不排除Zoom可能會被中國政府的壓力左右，安全問題成疑，不建議涉及敏感資料的機構使用。

Zoom不時就種種問題解話、道歉並承諾作出改善，Zoom創辦人兼行政總裁袁征（Eric Yuan）4月4日在《華爾街日報》的訪問時稱：「若我們再次有差池，那就『玩完』了（If we mess up again, it's done）。」