當紅視訊軟體Zoom曾自啟鏡頭 、開發團隊在中國 中研院學者:使用前留意7件事保資安

當紅視訊軟體Zoom曾自啟鏡頭 、開發團隊在中國 中研院學者:使用前留意7件事保資安

Zoom因疫情成為當紅視訊會議軟體,但也有資安疑慮。 圖片來源:Zoom臉書

37989
文・呂紹勳(中央研究院資訊服務處)、陳伶志(中央研究院資訊科學所研究員)

由於近期新型冠狀病毒疫情的影響,許多會議的進行逐漸從面對面的方式,改為線上進行,因此視訊會議軟體也一躍成為當紅的遠端辦公軟體。

其中,Zoom這套軟體由於功能完整、視訊品質佳,同時操作介面簡單,加上搭配疫情所推出的一系列免費優惠方案,因此已迅速普及,成為全球最熱門的網路應用軟體。

然而,也隨著人們對Zoom這套軟體的越發了解,許多資訊安全上的隱憂也一一浮現,針對這些疑慮,以下整理了相關的報導與正反兩方的意見如下,並且給予使用Zoom這套軟體的資訊安全建議。

【延伸閱讀】手機App資安黑洞!讓蝦皮和YouTube讀你的簡訊和通訊錄,你也按下「同意」了嗎?

【立刻加入未來城市FutureCity粉絲專頁!】

【看更多科技故事,立即追蹤我們IG】未來城市Instagram

Zoom的資安議題

在過去幾年間,Zoom曾經因為資安事件,至少上了兩次新聞版面:

1. 2019年Zoom軟體在Mac電腦上被發現有資安漏洞,導致Zoom軟體可以在不須經過使用者同意下,自動開啟鏡頭 [1]。

2. Zoom的安全威脅——使用者圖方便,不喜歡設定密碼 [2]。

但是,若進一步仔細探究上述資安事件的源頭,仍不外乎「軟體開發不周全引發漏洞缺陷」及「使用者貪圖使用方便性,致使有心人士有機可乘」兩大原因。

這兩項原因其實普遍存在多數的應用軟體中,只要開發商願意迅速修補漏洞,以及使用者充實自我資安意識,其威脅程度是可以大幅降低,不至於到不可用的地步的。

然而,Zoom真正為人所擔心的地方,其實是其創辦人的背景有強烈的中國色彩,且其主要開發團隊皆在中國境內 [3]。而長久以來,中國政府對於境內高科技公司的掌控與插手程度,讓人不免懷疑Zoom這套軟體是否也因此可能潛藏後門,或存在尚未爆發的資安風險。

特別是一些重要會議若透過 Zoom 進行,是否能確保會議內容的機密,更是大家關心的重點。

Zoom創辦人為來自中國的袁征。Zoom創辦人為來自中國的袁征。

Zoom不能用嗎?

在另一方面,Zoom本身也展現極大的企圖心,希望證明軟體的資訊安全是值得信賴的。

例如,在2019年5月7日,Zoom在其官網上公布其政府版軟體(Zoom for Government), 已通過美國中央雲端軟體採購認證(FedRAMP),並獲得美國國土安全部採用作為視訊會議相關用途 [4]。

該項認證需經過美國政府單位資訊部門詳細的風險評估與安全測試,因此足以證明其安全無虞。

除此之外,針對上述自動開啟鏡頭的資安議題,Zoom團隊也在 2019年7月便緊急進行程式修補,讓使用者可以在解除安裝Zoom時,能夠完全移除本地主機(Localhost)網頁伺服器;也可以透過程式的自動更新,刪除有安全疑慮的本地主機網頁伺服器 [5],以果斷負責的行動展現其重視資安的程度。

Zoom也在官網上提供資訊安全白皮書,持續更新並公開Zoom在軟體安全上所做的努力。

【延伸閱讀】華為手機安全嗎?你可能已不小心下載了「內應」程式

Zoom因疫情成為當紅視訊會議軟體。Zoom因疫情成為當紅視訊會議軟體。

怎麼用Zoom比較安全

由於Zoom仍是目前功能最全面,也是市場使用率最高的視訊會議軟體;雖然如上所述在資訊安全上仍有一些疑慮,但似乎又沒有十足的證據可以證明Zoom是不安全的軟體。

因此,現階段與其爭論Zoom是否安全,不如強化使用者的使用習慣,增添使用視訊會議時的資安防護,以下是幾點建議的措施:

1. 使用Zoom進行會議時,請務必啟用點對點加密。(預設功能,請勿關閉)

2. 建議從Zoom政府版網頁 [6] 下載軟體,並且隨時保持讓程式更新到最新版本。

3. 在Zoom系統中註冊專屬的帳號,並且設定未曾使用過的專屬密碼,請不要使用以既有Facebook或Google帳號登入的方式進行認證。

4. 舉行會議時,請務必設定會議密碼(最好每場會議都不一樣,且要注意密碼的強度),以防無關的第三人擅入;同時,會議主持人的密碼,也須避免重複使用,並注意密碼的強度。

5. 邀請與會者時,會議室的連結與會議密碼不要用同一封信寄出,如果是重要的會議,會議密碼應該採行其他的通訊方法告知。(例如電話簡訊或 Line 等。)

6. 在自己電腦的作業系統中,另外開設一個只有一般權限的使用者帳號,並使用這個使用者帳號去參加Zoom會議,等會議結束後,再切換為原本的使用者帳號。

7. 若為臺灣學術網路使用者,可使用教育部提供的Zoom服務,其伺服器架設在教育部的機房,在資安管控上較可以信賴。

【延伸閱讀】兒子做資安,家人卻被騙?6位工程師下班後打造「防詐達人」,兩個月擋40萬疫情假訊息

結語  如果對於Zoom還是有疑慮怎麼辦

資訊安全本身除了技術面外,還存在更多的信任議題;而資訊安全的超前部署,也永遠是不嫌多。

如果對於Zoom的資訊安全還是心存疑慮,或會議本身具有高度敏感性,建議可以改用其他的通訊或視訊會議軟體。

例如,對於與會人數不多,不需要特殊會議功能(例如白板、投票、錄影等)的會議,可以使用Line、Skype、Facetime等軟體;對於跨單位、與會人數多或者需要特殊會議功能的會議,可以採用Cisco WebEx、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting等軟體。

必須重申的是,在資訊安全的領域中,沒有任何軟體是保證安全的。使用任何軟體時,使用者都需要保有資安意識,若有任何疑慮,或發現任何可疑現象,可以立即尋求資訊人員協助;也唯有大家同心協力,才能讓整體的資訊服務更加便利與安全。

(獲作者授權轉載於Medium


【參考資料】
[1] 鄧天心,新頭殼newtalk (July, 2019):驚爆資安漏洞!視訊會議軟體Zoom能偷偷開啟Mac.
[2] Zak Doffman, Forbes (Jan 28, 2020): New Zoom Security Warning: Your Video Calls At Risk From Hackers — Here’s What You Do.
[3] XY Wang, PANDA!YOO (March 10, 2020): Zoom! You are using the video conference application (mostly) developed by Chinese.
[4] Priscilla Barolo, Zoom Inc. (May 7, 2019): Zoom Achieves FedRAMP Moderate Authorization.
[5] 李建興,iThome (July 10, 2019):Zoom緊急修正Mac客戶端漏洞,拿掉本地主機網頁伺服器.
[6] Zoom or Government,

未來城市網路精選

轉載網路意見領袖好文,看見智慧城市與政府治理的多元觀點

延伸閱讀