【新聞教室】Zoom因加密不足與保安漏洞惹擔憂 什麼是Zoom炸彈?
受新型冠狀病毒肺炎(COVID-19)疫情影響,不少學生及打工仔都要留家中,轉為以視像會議軟件「Zoom」在網絡上課或開會。不過,軟件異軍突起同時,亦爆出不少安全漏洞,台灣政府、紐約市教育局、哈佛大學、Google及美國太空總署(NASA)等都相繼宣布禁用。究竟軟件本身有何問題?
Zoom炸彈(Zoom Bombing)
部分Zoom用戶稱,他們試過視像會議被陌生人「亂入」及搗亂,散播色情、反猶太、反同性戀及種族主義等訊息。
這類惡意行為被稱為「Zoom Bombing」,大部分是因為用戶不熟悉軟件操作,沒有將預設的公開模式改為私人模式。網絡安全研究員克雷布斯(Brian Krebs)指出,Zoom會議的ID容易被自動化工具發現,讓有心人不請自來闖入會議。
美國聯邦調查局(FBI)指出,接到馬薩諸塞州(Massachusetts)兩所學校有關Zoom的報告。其中一宗報告指,一名身份不明人士亂入網上授課大叫,並在過程中高喊老師的家庭住址;另一宗事件中,有人亂入後向鏡頭展示「納粹黨徽」(Swastika)標誌紋身。
視像會議紀錄任睇
《華盛頓郵報》調查發現,成千上萬的Zoom視像會議紀錄並未受到保護,更可在網絡上任人查看。報道指出,大量未被保護的內容中,包括討論個人身份信息、公司財務報表及各種企業會議等。
保安漏洞多多
軟件亦被發現有洩漏個人資料問題。只要用戶打開手機上的Zoom應用程式,軟件就會向Facebook傳送用戶時區、手機型號及硬件規格等資料。
Zoom又被發現兩個漏洞,其中一個漏洞或允許黑客控制用戶的麥克風及鏡頭;另一個漏洞使Zoom可以在MacOS上獲得部分用戶訪問權限。
加密不足、未有「點對點」
加拿大多倫多大學的公民調查中心(The Citizen Lab)4月3日發表研究指出,Zoom的自家製系統加密有重大漏洞。研究指出,公司使用的加密鑰,部分來自中國服務器公司,只採用128位元的金鑰,與宣稱的256位元加密有出入。
Zoom又承認,目前的視像會議未能做到真正的「點對點加密」。公司承諾會提供有關技術 ,但該要在幾個月後才能使用。
中國因素
Zoom又承認由於過去幾周的用戶急增,為應對流量上升,錯誤把用戶的會議分流到中國兩間數據中心處理。公司強調已盡快修正漏洞,但沒有指出有多少用戶受影響。但公民調查中心的報告則質疑Zoom是一間「擁有中國心的美國公司」,不排除Zoom可能會被中國政府的壓力左右,安全問題成疑,不建議涉及敏感資料的機構使用。
Zoom不時就種種問題解話、道歉並承諾作出改善,Zoom創辦人兼行政總裁袁征(Eric Yuan)4月4日在《華爾街日報》的訪問時稱:「若我們再次有差池,那就『玩完』了(If we mess up again, it's done)。」