Zoom 傳出資安問題一大堆,FBI、SpaceX、NASA 禁用,有哪些替代方案?

在家工作、遠距工作的人愈來愈多,跨平台雲端視訊會議工具「 Zoom 」成為熱門的應用程式,然而隨著使用者人數增加,Zoom 的資安也愈來愈受到重視,前一陣子有 Zoom iOS App 被踢爆擅自與 Facebook 分享使用者隱私,接著又傳出「Zoom-Bombing」惡作劇攻擊、Windows 系統也有憑證漏洞…等漏洞。

對此,美國執法機構針對 Zoom 發布安全警示,而 SpaceX、NASA 內部也公告禁用 Zoom 進行視訊會議。那麼有哪些應用程式可以替代 Zoom 呢?

Zoom 近期傳出的資安漏洞有哪些?

♦    Zoom-Bombing 惡作劇攻擊頻傳,還有資安漏洞讓駭客可竊取 Windows 憑證

當你透過 Zoom 進行遠端視訊會議時,卻突然有與會者持續分享奇怪的 18 禁、成人影片干擾,這就是「Zoom-Bombing」惡作劇攻擊。

最知名的案例就是《The Verge》記者 Casey Newton 和投資者 Hunter Walk 兩人 Zoom 兩人合作的《WFH Happy Hour》(在家上班快樂時光) 節目。節目進行中,突然出現許多令人不安的影像亂入干擾 Zoom 視訊會議,The Verge 主持人趕緊強制讓亂傳影像的使用者下線,但對方不斷以其他名稱進入會議分享色情畫面,在不得已之下只好選擇結束視訊節目。

這問題源自於 Zoom 預設功能,所以在開設 Zoom 視訊會議室時,必須先設定參與者必須經過主持人允許才能加入,這樣才能避免受到「Zoom-Bombing」惡作劇攻擊。

另外,Zoom-Bombing 惡作劇攻擊的升級版則是搭配資安漏洞讓駭客能竊取 Windows 作業系統憑證。

竊取作業系統憑證的漏洞只有 Windows 系統的 Zoom 有用,攻擊方式是在 Zoom 聊天視窗會顯示一串 UNC 路徑的連結,Windows 使用者一旦點擊這個網路連結就會自動將自己的 Windows 作業系統憑證發送給駭客。尤其如果是以 Zoom-Bombing 惡作劇攻擊 搭配 惡意連結 一同攻擊,使用者很可能會在一片混亂之下中招。

不過,根據 Zoom 官方最新說法,「UNC 路徑的漏洞」和「 Zoom for macOS 不經同意可自行開啟視訊鏡頭」兩個漏洞已經修復。

♦    Zoom 視訊功能不是真正的端到端加密,加密的只有「客戶端」到「伺服器」

Zoom 在官方網站雖然標示「視訊會議採用端到端加密」,但經過國外媒體 The Intercept 向 Zoom 公司求證後,發現 Zoom 視訊功能並非是一般認知的「端到端加密(End-to-end encryption,E2EE)」,無法像 WhatsApp 、LINE 的 Letter Sealing (訊息保護) 功能從客戶端到客戶端全採用 E2EE 加密,可以防止電信商、服務供應商…等潛在第三方的解密者。

對此,Zoom 表示公司確實使用 TLS 加密傳輸,使用者在「客戶端」到 Zoom 「伺服器端」的數據確實是加密傳輸。但依照 Zoom 所說的加密傳輸方式其實比較類似存取 Gmail 或 Facebook ,這和多數使用者的認知有落差,甚至在真的有必要之下, Zoom 或許也能存取伺服器端的資料,造成使用者隱私漏洞,也因此被抨擊有誤導之嫌。

針對抨擊 Zoom 否認公司有誤導使用者,同時表示公司僅收集改善服務所需的使用者資訊,包括 IP 位址、操作系統和裝置詳細資訊,同時也不允許員工瀏覽特定視訊會議的內容,公司不會以任何形式的出售使用者資訊,唯獨法律訴訟才可能會交出會議檔案。

♦    Zoom加密金鑰有時會被發送到中國

據 《PC Magazine》(縮寫 PC Mag) 雜誌報導,加拿大 Citizen Lab 網路研究機構警告 Zoom 公司會向中國發送加密資訊,即使是使用 Zoom 與會者都在中國之外的國家地區。

Citizen Lab 研究員 Bill Marczak 表示,Zoom 犯了一個典型的錯誤,就是不使用現有的語音和視訊內容加密標準,而是設計和使用自己設計的加密方案。

在 Citizen Lab 的報告中指出,在北美進行多次通話測試,觀察到加密和解密視訊會議的金鑰被傳輸到中國北京的伺服器上。

此外,Citizen Lab 報告也進一步提到,儘管 Zoom 的公司總部設立在美國加州 San Jose,但它在中國有三個辦事處,總共約 700 名員工致力於開發 Zoom 軟體。在中國進行程式開發雖然可以讓 Zoom 減少在矽谷總部的開支、提高利潤,然而這樣的作法也可能會讓 Zoom 受到來自中國當局的壓力。

《PC Magazine》報導指出, Zoom 公司回應這是公司內部的錯誤,將北美客戶端的加密傳輸誤連到中國伺服器,才會導致北美使用者的加密金鑰被傳送到中國伺服器。目前公司已經解決的加密爭議,同時 Zoom CPO 產品總監 Oded Gal 表示,雖然 Zoom 確實保留了加密金鑰,但它沒有適合的系統可以方便解密視訊會議的內容。

此外,Zoom 正在努力開發可以將加密金鑰儲存在使用者自己的硬體上,但要等到年底才會推出要,不過這似乎是針對企業而非普通消費者的。

SpaceX、NASA 禁用 Zoom 進行視訊會議

Zoom 的資安爭議與隱私安全性引發的種種問題,美國康乃狄克州司法部長 William Tong 及紐約州司法部長 Letitia James 均向 Zoom 公司提出質疑,並要求 Zoom 公開隱私及安全訊息,要求 Zoom 確保使用者資訊安全。

美國 FBI 聯邦調查局也發布 Zoom 的安全性警告,並表示已經收到多起「Zoom-Bombing」惡作劇攻擊的報告,提醒使用者在使用時應注意設定及規範。

雖然英國首相 Boris Johnson 強森先前在 Twitter 推特公開他使用 Zoom 與政府官員進行視訊會議時,但這則留言遭到民眾留言批評,就連自家的英國國防部也公告因安全隱憂考慮全面禁止部門使用 Zoom。

此外,美國 NASA 航太總署也公布全面禁用 Zoom,就連 SpaceX 執行長 Elon Musk 也要求 SpaceX 員工禁用 Zoom,盡量以 Email 電子郵件、簡訊訊息、電話溝通。

有哪些可以替代 ZOOM 的應用程式?

隨著 Zoom 被提出的資安問題愈來愈多,縱然 Zoom 公司承諾會一一解決,但是解決問題需要時間,再者公司與中國之間的背景色彩是另一個問題,如果無法信任 Zoom 視訊會議的話,不妨試試以下幾套視訊工具:

♦    Google Meet

隸屬 G Suite 功能的商務用視訊會議服務,不需要安裝軟體,只要打開 Chrome 瀏覽器就能建立即加入視訊會議,也支援即時遠端分享螢幕畫面,並支援多人加入視訊通話。

不過,只有擁有 G Suite 帳號的使用者才能建立視訊會議、開啟會議聊天室網址,其他 Google 帳號使用者只能加入視訊會議,不能自己建議會議。

♦    Microsoft Teams

微軟 Microsoft Teams 可以在桌上型電腦、網頁、iOS 或 Android 行動裝置等各種系統上使用,可以開設一對一訊息或群組聊天室,也能開啟 10 人或 10,000 人的視訊會議。

此外,在 Teams 中可以即時存取、共用和編輯 Word 文件、PowerPoint 和 Excel 檔案。

♦    FaceTime

Apple 旗下 Mac、iOS、iPadOS 系統使用者可以考慮使用 FaceTime,它除了可以撥打 FaceTime 語音通話之外,也支援「群組 FaceTime」。

「群組 FaceTime」最多可加入 32 人,而且說話者的方塊會自動放大,讓使用者不會錯失任何對話。如果你的手機是 iPhone X 或後續機型,還可以在使用 FaceTime 時搭配自訂的 Animoji 和 Memoji。

不過,在沙烏地阿拉伯、阿拉伯聯合大公國與巴基斯坦購買或使用的裝置,可能不會提供或顯示 FaceTime。

♦    Cisco Webex

思科公司的 Cisco Webex 也是一款不錯的雲端視訊會議工具,免費註冊帳號後可開立多達 100 人的視訊會議,但如果是參與會議的使用者,不需要帳號也可以一同開會,非常方便。

延伸閱讀:

使用 Zoom 遠距工作小心被監看,教你安全使用四大招!

Zoom iOS App 被踢爆擅自與 Facebook 分享使用者隱私,官方緊急宣布更新

包裹通知網址別亂點!小心「釣魚詐騙簡訊」開啟小額付款付冤枉錢

隔離在家玩遊戲,小心三大遊戲詐騙地雷

抗疫詐騙、謠言滿天飛,大家該如何共同對抗假訊息蔓延!

圖片及資料來源:The VergearstechnicaTech CrunchPC Magazine


大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。