武汉肺炎蔓延全球,为了减少外出而感染新型冠状病毒的风险,各国纷纷采取在家上班、远距教学等模式防堵疫情。由袁征(Eric S. Yuan)成立新创公司开发出的云端视讯会议服务 Zoom,因视讯会议的功能完整、操作简单而被广为采用。不过近期频频爆出资安漏洞而登上新闻版面,加上中国背景,不免让用户起疑。
疫情让 Zoom 一夕爆红
袁征来自中国山东,27 岁时移民美国,同一年他加入企业视讯会议服务 WebEx;WebEx 在 2007 被思科(Cisco)收购,袁征顺理成章地进入思科,并且成为工程部门副总裁。
到了 2011 年袁征离开思科,成立新公司 Zoom Video Communications Inc. 并担任首席执行官。Zoom 在 2017 年 1 月估值达到 10 亿美元以上,正式加入独角兽俱乐部。到了 2019 年 3 月,Zoom 申请首次公开募股(Initial Public Offerings,IPO),并在同年 4 月 18 日以股票代码 ZM 于美国那斯达克挂牌上市,上市首日股价大涨 72%,市值一度突破 200 亿美元。
用户运用 Zoom,可透过会议室系统、电脑与笔电、手机或平板来进行视讯会议、传讯以及网络研讨会。其中 Zoom 免费版最多支援 10 人进行 40 分钟的视讯会议,成员可利用邀请网址或查询会议 ID 的方式,邀请他人加入视讯会议;过程中可同时视讯通话与文字对话,可录下视讯过程,还能共享屏幕画面、甚至单独分享某个软件视窗来与他人互动。至于付费方案则支援更多人参加视讯会议,可设置会议主持人以及配置服务器、串接 API 导入功能等,视企业需求来部署。
Zoom 一夕爆红,袁征在官方部落格发文表示,截至 2019 年 12 月底,在 Zoom 进行免费与付费视讯会议的参与人数最多约有 1,000 万;但到了 2020 年 3 月,每天已有超过 2 亿的免费与付费用户使用 Zoom。此外,行动版《ZOOM Cloud Meetings》近期则盘踞 Google Play 与 App Store 排行榜前几名。
This morning I chaired the first ever digital Cabinet.
Our message to the public is: stay at home, protect the NHS, save lives. #StayHomeSaveLives pic.twitter.com/pgeRc3FHIp
— Boris Johnson #StayHomeSaveLives (@BorisJohnson) March 31, 2020
▲ 防疫期间,英国-团队利用 Zoom 召开每日的内阁会议,事后却也遭受抨击。
Zoom 资安漏洞频传
不过近年来,Zoom 不断爆出资安漏洞,影响用户安全。尤其今年因武汉肺炎疫情增加对 Zoom 的使用需求,却因资安事件频频登上新闻版面。
资安专家 Jonathan Leitschuh 曾在 2019 年 7 月发文警告 Zoom 存在零日漏洞,允许任何网站在未经用户许可的情况下开启 Mac 电脑镜头、加入视讯会议;更糟的是移除 Mac 电脑上的 Zoom 应用程序后,仍在系统后台自动重新安装,使用的是隐藏的 Web 服务器。事后 Zoom 更新应用程序,修补漏洞并删除隐藏的 Web 服务器,从而完全解除软件安装。
国外媒体 Motherboard 在 3 月 26 日报导指出,iOS 版 Zoom 未在隐私条款详细说明,就透过 Facebook 的 Graph API,将用户数据包括 iPhone/iPad 型号、时区、城市、使用的电信商以及可用于广告定位的唯一辨识码等共享给 Facebook。虽然许多应用程序也都使用 Facebook 的 SDK(Software Development Kit,软件开发套件),但不应该在用户不知情的情况下共享数据,事后 Zoom 删除 Facebook 的 SDK 并更新应用程序。
由于 Zoom 的会议 ID 容易被破解,使得用户的视讯会议内容有被泄露的风险,这也导致所谓的“Zoom-Bombing”骚扰现象,即攻击者恶意加入 Zoom 的视讯对话并且播出色情或令人反感的影音与图片,甚至可以透过这种方式趁乱窃取 Zoom 用户的 Windows 系统凭证。由于预设不用输入密码就能加入视讯对话,于是 Zoom 调整了教育账户的设定,以提升视讯过程的安全性与隐密性。
加拿大多伦多大学公民实验室(Citizen Lab)最新报告指出,Zoom 有将资料送往中国服务器的状况,Zoom 官方则向国外媒体 TechCruch 表示,因为近日连线需求大增,服务器流量调配造成的设定错误。Zoom 称其视讯会议采用 AES-256 加密标准,但研究人员却指出实际上在 ECB(Electronic CodeBook,电子密码本)模式下使用简单的 AES-128 金钥。Zoom 还声称使用点对点加密,但距离真正的点对点加密还有一段距离。
除此之外,Zoom 有着浓厚的中国色彩也引发质疑,虽然总部设于美国硅谷,但袁征过去受访时透露,Zoom 研发团队主要来自中国;该公司在募股书上宣称,是考量中国较低廉的人力成本才这么做,于中国的子公司至少雇用 700 名员工从事研发工作。但中国-对于境内高科技公司掌控的程度可想而知,不免让人对 Zoom 更起疑。
▲ Zoom 于中国的子公司。(Source:Spotlight)
专家建议如何使用 Zoom?
美国联邦调查局(FBI)日前已针对 Zoom 发出安全性警告,提醒用户使用时应注意设定与规范;包括 SpaceX、NASA 等已对内部下达 Zoom 的禁用令,纽约市教育局也基于安全考量,指示各级学校暂停使用 Zoom。
中央研究院资讯科学所研究员陈伶志日前就发文建议 7 点 Zoom 使用措施,包括可从 Zoom -版网页下载应用程序或浏览器扩充功能,并且随时更新至最新版本。以专属的账号与密码来注册 Zoom,不要使用以 Facebook 或 Google 账号登入的方式进行身份认证。使用时务必启用内建的点对点加密功能,还有发起视讯会议时,务必设定会议密码。
若对 Zoom 充满疑虑,但又需要线上会议功能,陈伶志则建议改采 Cisco WebEx、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting 以及开源服务 Jitsi Meet。
- Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings
- Zoom faces a privacy and security backlash as it surges in popularity
- Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account
- Zoom defends use of local web server on Macs after security report
(首图来源:Zoom Blog)
延伸阅读:
- 袁征创办新创公司 Zoom 暴红,如今身价已超越郭台铭
- 基于安全考量,纽约学校将停用视讯软件 Zoom
- Zoom 资安疑虑外,又被证实连线资料可能被送往中国
- FBI 示警 Zoom 存资安疑虑,SpaceX、NASA 先后宣布禁用
- 除了“Zoom-Bombing”攻击风险外,Zoom 再爆骇客可窃取使用者 Windows 凭证漏洞
- 即使没有 Facebook 账户,iOS 版 Zoom 也会悄悄传输数据
- 视讯软件 Zoom 被爆能让不相干人等开镜头偷听
