【學長姐帶路】Zoom 資安事件追蹤

原標《Zoom 資安事件追蹤》

文/資安解壓縮

【學長姐帶路】Zoom 資安事件追蹤
Zoom 資安事件追蹤

前情提要 – 先前的爭議

Zoom 誇大自己的安全性

  • 號稱所有服務皆使用點對點加密,實際上視訊與音訊並沒有 (新聞連結:The Intercept)
  • 號稱使用 AES-256 加密法,實際上只使用了較弱的 AES-128 加密法 (新聞連結:Citizen Lab)

個資和隱私問題

  • 未告知用戶便向 Facebook 傳送用戶數據 (新聞連結:Vice)。
  • 透過中國伺服器傳送資訊,即便通話雙方都在北美洲 (新聞連結:Citizen Lab)

陌生人亂入視訊會議,引起 FBI 警告

會議預設為無密碼且會議 ID 簡單,讓有心人士可輕易購過自動化工具找到規則並亂入 (新聞連結:FBI )

爭議後續 – Zoom 的改善與回應

CEO 出面道歉 2020 4 月初

Zoom 宣布實施 90 天資安計畫
暫停所有新功能開發,優先改善資訊安全與隱私

新聞連結:Business Insider – Zoom’s CEO apologizes for its many security issues as daily users balloon to 200 million

Zoom 5.0 發布 2020 4 月底

  • 改用較好的加密法 (AES-256 + GCM 加密)
  • 在視訊與音訊推出點對點加密
  • 允許使用者選擇資料傳送的伺服器位置
  • 改善會議流程安全性
    • 會議預設為需要使用密碼加入
    • 參加者須在等候室等待主持人同意才能加入會議
    • 主持人可以回報違規用戶給 Zoom 加以審查

Zoom 發行公告:Zoom 5.0 is here!

近期爭議

Zoom 公開表明會與政府機關分享用戶資訊

“Free users — for sure we don’t want to give [them] that, because we also want to work together with the FBI, with local law enforcement, in case some people use Zoom for a bad purpose.” – Zoom CEO Eric Yuan

(翻譯) “我們想與 FBI 或當地政府合作,因此我們並不打算提供免費用戶依些資安功能,以防有人利用 Zoom 來做壞事” – Zoom CEO Eric Yuan。

新聞連結:The Verge – Zoom says free users won’t get end-to-end encryption so FBI and police can access calls

六四紀念活動遭中斷,帳戶遭封鎖

Zoom 承認在中國政府指使下,中斷兩起在 Zoom 上由非政府組織所舉辦的六四天安門紀念活動,並停用了數名活動發起人的帳號。

新聞連結:紐約時報中文網 – Zoom 暫停「六四」學運領袖帳號

反思

資安對 Zoom 只是附加功能而非必要,有別於其他大公司做法

對於免費用戶,Zoom 非但沒有要加密傳送的訊息以保障用戶隱私和安全,還直接表明要與政府機關分享資訊。除此之外 Zoom 與中國政府的互動令人擔憂,身為一間美國公司,為什麼對中國政府言聽計從?

2020.06.17 Update

Zoom 突然宣布即將提供點對點加密給免費用戶,條件為免費用戶需要提供額外個人資訊,像是以簡訊驗證身份 ,根據 Zoom 的說法,這樣做是為了避免有心人士大量註冊假帳號,濫用這些功能。免費用戶的點對點加密功能將於 7 月開始測試。Zoom 也將他們的點對點加密白皮書公開放在原始碼代管服務平台 GitHub 上。

以一個使用者的觀點來說,這是一個好消息,Zoom 開始重視免費使用者個隱私及安全絕對是朝著對的方向前進,雖然說有點晚,但總比沒有好。

※本文由 資安解壓縮 授權勿任意轉載,原文《Zoom 資安事件追蹤》

___________

你也有經驗想分享嗎?快來投稿賺稿費吧!

瀏覽 256 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button