其中,Zoom這套軟體由於功能完整、視訊品質佳,同時操作介面簡單,加上搭配疫情所推出的一系列免費優惠方案,因此已迅速普及,成為全球最熱門的網路應用軟體。
然而,也隨著人們對Zoom這套軟體的越發了解,許多資訊安全上的隱憂也一一浮現,針對這些疑慮,以下整理了相關的報導與正反兩方的意見如下,並且給予使用Zoom這套軟體的資訊安全建議。
【延伸閱讀】手機App資安黑洞!讓蝦皮和YouTube讀你的簡訊和通訊錄,你也按下「同意」了嗎?
【立刻加入未來城市FutureCity粉絲專頁!】
【看更多科技故事,立即追蹤我們IG】未來城市Instagram
Zoom的資安議題
在過去幾年間,Zoom曾經因為資安事件,至少上了兩次新聞版面:
1. 2019年Zoom軟體在Mac電腦上被發現有資安漏洞,導致Zoom軟體可以在不須經過使用者同意下,自動開啟鏡頭 [1]。
2. Zoom的安全威脅——使用者圖方便,不喜歡設定密碼 [2]。
但是,若進一步仔細探究上述資安事件的源頭,仍不外乎「軟體開發不周全引發漏洞缺陷」及「使用者貪圖使用方便性,致使有心人士有機可乘」兩大原因。
這兩項原因其實普遍存在多數的應用軟體中,只要開發商願意迅速修補漏洞,以及使用者充實自我資安意識,其威脅程度是可以大幅降低,不至於到不可用的地步的。
然而,Zoom真正為人所擔心的地方,其實是其創辦人的背景有強烈的中國色彩,且其主要開發團隊皆在中國境內 [3]。而長久以來,中國政府對於境內高科技公司的掌控與插手程度,讓人不免懷疑Zoom這套軟體是否也因此可能潛藏後門,或存在尚未爆發的資安風險。
特別是一些重要會議若透過 Zoom 進行,是否能確保會議內容的機密,更是大家關心的重點。
Zoom創辦人為來自中國的袁征。
Zoom不能用嗎?
在另一方面,Zoom本身也展現極大的企圖心,希望證明軟體的資訊安全是值得信賴的。
例如,在2019年5月7日,Zoom在其官網上公布其政府版軟體(Zoom for Government), 已通過美國中央雲端軟體採購認證(FedRAMP),並獲得美國國土安全部採用作為視訊會議相關用途 [4]。
該項認證需經過美國政府單位資訊部門詳細的風險評估與安全測試,因此足以證明其安全無虞。
除此之外,針對上述自動開啟鏡頭的資安議題,Zoom團隊也在 2019年7月便緊急進行程式修補,讓使用者可以在解除安裝Zoom時,能夠完全移除本地主機(Localhost)網頁伺服器;也可以透過程式的自動更新,刪除有安全疑慮的本地主機網頁伺服器 [5],以果斷負責的行動展現其重視資安的程度。
Zoom也在官網上提供資訊安全白皮書,持續更新並公開Zoom在軟體安全上所做的努力。
【延伸閱讀】華為手機安全嗎?你可能已不小心下載了「內應」程式
Zoom因疫情成為當紅視訊會議軟體。
怎麼用Zoom比較安全
由於Zoom仍是目前功能最全面,也是市場使用率最高的視訊會議軟體;雖然如上所述在資訊安全上仍有一些疑慮,但似乎又沒有十足的證據可以證明Zoom是不安全的軟體。
因此,現階段與其爭論Zoom是否安全,不如強化使用者的使用習慣,增添使用視訊會議時的資安防護,以下是幾點建議的措施:
1. 使用Zoom進行會議時,請務必啟用點對點加密。(預設功能,請勿關閉)
2. 建議從Zoom政府版網頁 [6] 下載軟體,並且隨時保持讓程式更新到最新版本。
3. 在Zoom系統中註冊專屬的帳號,並且設定未曾使用過的專屬密碼,請不要使用以既有Facebook或Google帳號登入的方式進行認證。
4. 舉行會議時,請務必設定會議密碼(最好每場會議都不一樣,且要注意密碼的強度),以防無關的第三人擅入;同時,會議主持人的密碼,也須避免重複使用,並注意密碼的強度。
5. 邀請與會者時,會議室的連結與會議密碼不要用同一封信寄出,如果是重要的會議,會議密碼應該採行其他的通訊方法告知。(例如電話簡訊或 Line 等。)
6. 在自己電腦的作業系統中,另外開設一個只有一般權限的使用者帳號,並使用這個使用者帳號去參加Zoom會議,等會議結束後,再切換為原本的使用者帳號。
7. 若為臺灣學術網路使用者,可使用教育部提供的Zoom服務,其伺服器架設在教育部的機房,在資安管控上較可以信賴。
【延伸閱讀】兒子做資安,家人卻被騙?6位工程師下班後打造「防詐達人」,兩個月擋40萬疫情假訊息
結語 如果對於Zoom還是有疑慮怎麼辦
資訊安全本身除了技術面外,還存在更多的信任議題;而資訊安全的超前部署,也永遠是不嫌多。
如果對於Zoom的資訊安全還是心存疑慮,或會議本身具有高度敏感性,建議可以改用其他的通訊或視訊會議軟體。
例如,對於與會人數不多,不需要特殊會議功能(例如白板、投票、錄影等)的會議,可以使用Line、Skype、Facetime等軟體;對於跨單位、與會人數多或者需要特殊會議功能的會議,可以採用Cisco WebEx、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting等軟體。
必須重申的是,在資訊安全的領域中,沒有任何軟體是保證安全的。使用任何軟體時,使用者都需要保有資安意識,若有任何疑慮,或發現任何可疑現象,可以立即尋求資訊人員協助;也唯有大家同心協力,才能讓整體的資訊服務更加便利與安全。
(獲作者授權轉載於Medium)
【參考資料】
[1] 鄧天心,新頭殼newtalk (July, 2019):驚爆資安漏洞!視訊會議軟體Zoom能偷偷開啟Mac.
[2] Zak Doffman, Forbes (Jan 28, 2020): New Zoom Security Warning: Your Video Calls At Risk From Hackers — Here’s What You Do.
[3] XY Wang, PANDA!YOO (March 10, 2020): Zoom! You are using the video conference application (mostly) developed by Chinese.
[4] Priscilla Barolo, Zoom Inc. (May 7, 2019): Zoom Achieves FedRAMP Moderate Authorization.
[5] 李建興,iThome (July 10, 2019):Zoom緊急修正Mac客戶端漏洞,拿掉本地主機網頁伺服器.
[6] Zoom or Government,