【學長姐帶路】Zoom 資安事件追蹤
原標《Zoom 資安事件追蹤》
文/資安解壓縮
前情提要 – 先前的爭議
Zoom 誇大自己的安全性
- 號稱所有服務皆使用點對點加密,實際上視訊與音訊並沒有 (新聞連結:The Intercept)
- 號稱使用 AES-256 加密法,實際上只使用了較弱的 AES-128 加密法 (新聞連結:Citizen Lab)
個資和隱私問題
- 未告知用戶便向 Facebook 傳送用戶數據 (新聞連結:Vice)。
- 透過中國伺服器傳送資訊,即便通話雙方都在北美洲 (新聞連結:Citizen Lab)
陌生人亂入視訊會議,引起 FBI 警告
會議預設為無密碼且會議 ID 簡單,讓有心人士可輕易購過自動化工具找到規則並亂入 (新聞連結:FBI )
爭議後續 – Zoom 的改善與回應
CEO 出面道歉 2020 4 月初
Zoom 宣布實施 90 天資安計畫
暫停所有新功能開發,優先改善資訊安全與隱私
Zoom 5.0 發布 2020 4 月底
- 改用較好的加密法 (AES-256 + GCM 加密)
- 在視訊與音訊推出點對點加密
- 允許使用者選擇資料傳送的伺服器位置
- 改善會議流程安全性
- 會議預設為需要使用密碼加入
- 參加者須在等候室等待主持人同意才能加入會議
- 主持人可以回報違規用戶給 Zoom 加以審查
Zoom 發行公告:Zoom 5.0 is here!
近期爭議
Zoom 公開表明會與政府機關分享用戶資訊
“Free users — for sure we don’t want to give [them] that, because we also want to work together with the FBI, with local law enforcement, in case some people use Zoom for a bad purpose.” – Zoom CEO Eric Yuan
(翻譯) “我們想與 FBI 或當地政府合作,因此我們並不打算提供免費用戶依些資安功能,以防有人利用 Zoom 來做壞事” – Zoom CEO Eric Yuan。
新聞連結:The Verge – Zoom says free users won’t get end-to-end encryption so FBI and police can access calls。
六四紀念活動遭中斷,帳戶遭封鎖
Zoom 承認在中國政府指使下,中斷兩起在 Zoom 上由非政府組織所舉辦的六四天安門紀念活動,並停用了數名活動發起人的帳號。
新聞連結:紐約時報中文網 – Zoom 暫停「六四」學運領袖帳號
反思
資安對 Zoom 只是附加功能而非必要,有別於其他大公司做法
對於免費用戶,Zoom 非但沒有要加密傳送的訊息以保障用戶隱私和安全,還直接表明要與政府機關分享資訊。除此之外 Zoom 與中國政府的互動令人擔憂,身為一間美國公司,為什麼對中國政府言聽計從?
2020.06.17 Update
Zoom 突然宣布即將提供點對點加密給免費用戶,條件為免費用戶需要提供額外個人資訊,像是以簡訊驗證身份 ,根據 Zoom 的說法,這樣做是為了避免有心人士大量註冊假帳號,濫用這些功能。免費用戶的點對點加密功能將於 7 月開始測試。Zoom 也將他們的點對點加密白皮書公開放在原始碼代管服務平台 GitHub 上。
以一個使用者的觀點來說,這是一個好消息,Zoom 開始重視免費使用者個隱私及安全絕對是朝著對的方向前進,雖然說有點晚,但總比沒有好。
※本文由 資安解壓縮 授權勿任意轉載,原文《Zoom 資安事件追蹤》
___________
你也有經驗想分享嗎?快來投稿賺稿費吧!
瀏覽 252 次