在承诺冻结目前所有功能开发,全力投入进行 90 天资安计划后,Zoom 达成对用户的初步承诺,将在本周释出 Zoom 5.0 版本,加强平台的安全防护与隐私功能,包括升级至 AES 256 位元 GCM 加密标准、调整安全性图示功能、预设启用会议室密码等,以解决前几周所发生的资安疑虑。
武汉肺炎疫情增加了企业对于视讯会议软件的需求,成千上万的员工在家上班并靠着通讯工具保持联系,Zoom 就是这波视讯会议热潮中的受益者。Zoom 创办人暨首席执行官袁征(Eric S. Yuan)曾在官方部落格撰文,去年底在 Zoom 进行免费与付费视讯会议的参与人数最多约有 1,000 万,但到了今年 3 月,每天已有超过 2 亿的免费与付费用户使用这款软件。然而近期 Zoom 不断爆出资安漏洞,频频登上新闻版面。
为此 Zoom 展开 90 天资安计划做为回应,其中将升级至 AES 256 位元 GCM 加密标准,以加强保护会议资料传送并防止干预,这为 Zoom 会议、Zoom 视讯网络研讨会以及 Zoom Phone 的资料提供机密性与完整性的保障。即将在本周释出的 Zoom 5.0 将支援 GCM(Galois/Counter Mode)加密标准,所有账户都需自行启用 GCM,这项加密标准才会生效;而从 5 月 30 日开始,所有账户预设以 GCM 加密。
由于过去爆出资料传往中国服务器的争议,现在 Zoom 的账户管理员可以在账户、群组或不同类型用户等级中,依权限选择想要透过哪些特定区域的资料中心来处理即时线上会议的资料。商业、企业与教育方案的账户管理员可在 Zoom 选单中查看他们的线上会议如何连接到 Zoom 资料中心,包括连接到 HTTP 通道服务器的所有资料中心、会议室连接器以及闸道。Zoom 官方也强调中国以外的免费用户,其会议资料将不会透过中国的资料中心传送。
至于在用户体验与控制方面,过去需透过会议选单查看的“安全性”选项已有调整,在会议主持人的界面选单上点击【安全性】图示即可找到相关功能,包括会议加锁、启用等候室、移除与会者,以及是否允许与会者进行画面分享、聊天、自行改名、在分享内容上注记等操作;其中对教育账户而言,屏幕共享功能预设仅限会议主持人。
(Source:Zoom Blog)
针对免费账号、单一升级账号以及其 K-12 计划中注册的教育账号,让主持人在与会者被允许进入会议室前等待的“等候室”功能改为预设开启。此外,这些账号也已启用会议室密码功能,账户管理员可以定义密码的复杂性,例如对于密码的长度、字母、数字、特殊符号等要求,也能避免类似 Zoom-Bombing 恶作剧攻击的状况发生。
- Zoom Hits Milestone on 90-Day Security Plan, Releases Zoom 5.0
- Zoom adds data center routing, security updates
- Zoom releases 5.0 update with security and privacy improvements
(首图来源:Zoom)
延伸阅读:
- 资安危机升级,超过 50 万组 Zoom 帐密外流,独家揭露骇客威胁信
- 教育部下令学校禁用 Zoom 引发论战,叶丙成批-决策过程
- Zoom 资安争议懒人包,专家建议如何使用这套视讯会议服务较为安全
