深入了解 Zoom 資安爭議事件!使用者該如何更安全地使用視訊通話軟體?
在因新冠肺炎疫情全球肆虐而起的遠端工作潮之中,適合遠端工作的筆記型電腦設備、視訊會議軟體等產品,均在銷售成績上斬獲爆炸性的成長。其中,根據 Alexa 調查,專注於透過 UI 設計提升用戶體驗感、並有效降低使用摩擦 (User Friction) 的視訊會議軟體 Zoom.us,更是在這波遠端工作浪潮中逆勢成長,一躍成為最常被使用的網站全美第 6 名、世界第 15 名(本文發布時點 2020 年 9 月 7 日數據)。
能受到眾多使用者青睞,Zoom 的便利性自然無庸置疑,不僅可以免費發起最高一百人的視訊會議,軟體本身的相關設定與操作也十分簡單易懂。然而,在這些吸引用戶的優點背後,Zoom 卻也有著不可忽視的隱藏風險。正當 Zoom 的業務與用戶量快速增長之時,全球各地的資安專家們也很快地發現並揭露 Zoom 的多種安全漏洞與隱憂,在這之中最值得一提的,便是關於 Zoom 網路基礎架構的設計問題,尤其 Zoom 會議金鑰的傳輸路徑被發現可能經過中國,也令擔憂中國網路法規可能造成資安影響的用戶們格外關注。
基於諸多安全隱憂在 Zoom 使用者中所掀起的大量反彈聲浪,Zoom 團隊自漏洞開始相繼遭披露後,便積極地針對安全問題展開修補,亦在今年四月底展示了修正後的 Zoom 5.0 版本更新。不過,正如同資安記者 Kim Zetter 早在四月初所發布的推特貼文所說,Zoom 很可惜地未能及早對產品做好安全檢測,故而勢必難以避免這場爭議事件的延燒。而從我們所做的研究來看,我們認為 Zoom 軟體目前仍屬於快速開發的產品週期階段,而這正是主要的問題--即便 Zoom 已修復多數被揭露的漏洞,但從顯然仍在開發中的平台及其資安防護狀況,卻也足以預想未來 Zoom 依舊有再發生資安事件的可能性。
那麼,究竟該不該用 Zoom 呢?
當然可以用,但前提是你不介意暴露在機密資料或個資外洩的風險下。如果你只是打算分享些無關緊要的事情,例如一則有意思的時事梗笑話、或者令人會心一笑的可愛小動物影片,就儘管放心地使用 Zoom 吧!
如果你有使用視訊會議軟體的需求,由非營利組織創辦的《消費者報告》雜誌也指出,Zoom 並不是唯一一款有隱私疑慮的視訊會議產品,常見的 Google Meet、Microsoft Teams、Cisco WebEx 等也都有隱私上的問題存在,使用者在利用這些軟體或服務時皆應更為謹慎;另一點有趣的是,在 2007 年 Cisco 併購 WebEx 至旗下後不久,Cisco 即任命袁征 (Eric Yuan) 為工程部門的副總裁,而袁征在四年之後離開 Cisco 並創辦了 Zoom。
「依據相關的隱私權政策,這三間公司都能夠在用戶進行視訊會議時蒐集資料,他們可能用來和從資料仲介 (Data Broker) 或其他來源取得的資料結合,建立消費者資料檔案,甚至有可能將你的視訊用作 AI 臉部辨識系統的訓練等其他目的。」--Bill Fitzgerald,《消費者報告》隱私研究人員
有必要完全禁止使用 Zoom 嗎?誰應該要更重視資安?
我們強烈建議不要使用 Zoom 來討論或分享機敏程度高的資訊、或者任何與個人隱私有關的內容,尤其針對以下身份的使用者,需要格外注意及謹慎:
- 各級政府、公家機關相關人員
- 擔憂受到網路犯罪或商業間諜活動影響的組織
- 醫院及醫療機構等經手病患個人隱私資訊的單位
- 社工人員、律師、記者等處理包含敏感性資訊工作的人員
- 遠距離的課程教學,尤其小心遭到 Zoom 轟炸 (Zoom-Bombing / Zoom Raiding) 並出現不適合兒童觀看的內容。
Zoom 資安事件相繼爆發,截至目前全球已有許多單位決議禁止或嚴格限制 Zoom 的使用,包含科技龍頭 Google、Elon Musk 創辦的太空技術公司 SpaceX、美國太空總署 NASA,以及世界各國諸多政府公部門,如美國參議院、德國外交部、澳洲國防軍隊、印度政府、新加坡教育局、紐約市教育局及台灣政府等,為數眾多的政府及私人組織針對 Zoom 的安全爭議做出禁用決策。
不過,做為一款易上手且受歡迎的視訊軟體,即使受到企業與政府單位的禁用或限制,Zoom 依然是世界上最多人使用的遠端會議應用程式之一。如同前述曾提及,Zoom 團隊於今年四月時發布了 5.0 版本更新以修復漏洞,而相較於 Zoom 4.0 也的確不斷地在安全層面有所改善。但是,Zoom 5.0 真的就足夠安全了嗎?問題可能就回到使用者們身上,需要自行判斷他們的對話需要多少安全程度才放心了。
試試這幾招!提升使用 Zoom 時的安全性
- 避免下載安裝 Zoom 的應用程式,盡可能透過安全的沙盒網頁瀏覽器來使用 Zoom 的網頁版服務。
- 若是必須安裝 Zoom 的軟體時,特別留意並確保您是從 Zoom 的官方網站下載安裝檔,勿從來路不明的第三方網頁下載。
- 以匿名的 ID 使用 Zoom,勿任意揭露您的真實姓名。
- 在無需使用到、或剛結束使用的當下,將攝影機及錄音、錄影等功能全數關閉。
- 未使用時保持以貼紙等物件遮擋住電腦或是視訊設備上的攝影鏡頭。
- 替您的每一場視訊會議加上密碼,這麼做可以有效降低遭到 Zoom 轟炸 (Zoom-Bombing / Zoom Raiding) 的機率;但若您會議的任一位參與者有意或無意洩露了密碼,這麼做就仍會有高度的風險,因此使用 Zoom 或任何免費通訊軟體時,仍須保持警覺並評估適當性。
- 若您需要控制會議中的不同參與者是否可發言、畫面分享、視訊等,建議您可使用 Zoom Webinar 付費功能,如此一來也可減少受到 Zoom 轟炸的影響。
- 透過 Facebook 帳號登入 Zoom 雖可將大幅提升操作體驗感,卻也同時增加您真實身分洩露的可能性,因此我們並不建議這麼做,並且謹慎管理所有與 Facebook 帳號連動的應用程式,避免暴露於風險之中。
關於授權 Zoom 存取 Facebook 帳號的安全隱患,在資安研究員 s3c 先前曾上傳的部落格文章「How I Hacked Worldwide Zoom Users」中,便曾揭露了在使用 Facebook 登入 Zoom 時,可以繞過信箱驗證步驟,並進一步任意加入視訊會議或讀取公司所有人員信箱資訊的漏洞(該漏洞現已由 Zoom 完成修補,且文章已被 s3c 移除)。
雖然 Zoom 官方已修復此漏洞,但類似的惡意手法仍可能出現在其他地方,請務必格外留意。 - 請注意,倘若您過去便已使用 Zoom,您的帳號資料有可能已遭到洩露,且相關的影響將持續發展。建議您定期透過 haveibeenpwned.com 檢驗帳號安全,在該網頁的欄位中輸入您的電子信箱地址,便可查看此信箱相關資訊在多少個及哪幾個網站曾遭到洩露,並應盡速修改密碼。
- 進行視訊會議時,應留意參與者的所在位置及會議內所涉及的話題,部分的話題內容可能在不同地區會受到相異的法律規範。
- 四月初時 Zoom 曾表示將在 90 天內公開透明度報告,雖然目前已超過 90 天期限且 Zoom 未表明延後發布的具體日期,僅在七月初的部落格文章稱「已在定義透明度報告架構與方法上取得重大進展」,但同時亦針對近三個月內的相關措施及更新提出說明。建議您可參閱這份 90 日安全性更新摘要,並留意 Zoom 未來可能公開的透明度報告。
Zoom 與中國的關聯是否影響安全性?
Zoom 在中國設有三個研發中心,其中有一個負責了產品的研發,另外兩個目前則歸屬於軟視軟件(蘇州)有限公司。根據 Zoom 提交給美國證券交易委員會 (Securities and Exchange Commission, SEC) 的資料,在 Zoom 共約 2,500 名的員工之中,有將近 28%、大概 700 人左右隸屬於位在中國的研發團隊;此外,《富比士》雜誌曾報導,在 Zoom 前身 Saasbee 的初期 30 人開發團隊中,也有部分的成員是位在中國。
這的確降低了 Zoom 的研發人力成本,卻也讓許多人產生了安全性的疑慮,基於 2017 年 6 月 1 日開始生效的《中華人民共和國網絡安全法》,Zoom 可能有向中國政府揭露加密密鑰或各項數據的法律義務,而 Zoom 的 E2E 架構又使此問題更加複雜化。經過實驗證實,在某些狀況之下,即便是一場位於北美的 Zoom 視訊會議,其加密密鑰仍會經由位在中國的 5 台伺服器傳輸,而非位在北美的其他 68 台伺服器。一旦密鑰及資料數據被儲存在位於中國的伺服器內,便會大幅提升受到前述網路安全法影響的可能性,因為倘若中國政府依法要求,Zoom 就必須遵循當地法律的規範交出機敏資訊。
當然,這裡闡述的是一個應留意的可能性。目前尚未有證據顯示中國、或任何其他國家,曾取得過 Zoom 的會議金鑰,然而,Zoom 團隊也不曾針對此問題發表過透明度報告。關於此情形,今年四月底的時候 Zoom 宣布新增了供付費用戶使用的設定選項,付費用戶得以利用該選項避開特定區域的伺服器,而使用免費版本的 Zoom 用戶,則預設會使用最接近他們所在區域的伺服器。對此,Zoom 執行長袁征曾於四月初的部落格中,承認確實有部分視訊會議會誤連到中國伺服器,而這是一個不該發生的狀況,目前已被 Zoom 團隊修復。
90 日安全性計畫以後,還要多久才能看到 Zoom 的透明度報告?
人權倡議組織 Access Now 曾公開呼籲,要求 Zoom 應公開一份透明度報告,內容關於各國政府是否曾要求得到數據、Zoom 如何回應相關要求,以及 Zoom 將如何通知使用者類似的要求或資料洩露事件等。過去,Zoom 曾在短期之內發生多起的資料洩漏,像是數千筆帳號密碼在暗網上被販售,還有包含企業帳號、教育機構、醫療單位等的逾 2,000 組登入憑證被分享在線上論壇中。《華盛頓郵報》更曾經指出,有約 15,000 筆 Zoom 視訊會議的錄影在未受保護的伺服器中被尋獲。
對於 Access Now 的公開呼籲, Zoom 在四月初曾經承諾過,會在 90 天內、亦即六月底前公開其透明度報告;然而,這份各界關注的透明度報告,卻未能順利在六月底的承諾期限內發布,且並未具體表明延後發布的日期。根據 Zoom 部落格七月初發表的執行長報告,官方談及 90 天安全性計畫內的新措施,包含新增上百項功能、設立 CISO 委員會、加強 Bug Bounty 計畫、進行滲透測試等,但關於透明度報告則僅稱「已在定義透明度報告架構與方法上取得重大進展」,並預計於今年首次報告的同時提供第二季度會計資料。
接二連三的資安事件,是否意味著 Zoom 還沒準備好?
「設計產品時,我們並未預料到在短短數週内,世界上會有如此多的人將突然轉變為在家裡工作、學習及互動交流。我們現在的使用者群比過去廣泛許多,他們運用產品的方式,也常常與我們原本預期的使用方式不同,這產生了一些我們構思平台設計時並未預期到的挑戰。」Zoom 執行長袁征在官方部落格上發布的公告如此說明。
與預期不同的使用方式?很明顯地,袁征使用了一種比較溫和的方式,來形容 Zoom 所遭遇到的非法使用--也就是駭客入侵與攻擊,畢竟,我們可不會將那些合法使用 Zoom 的方式,像是嘗試在視訊會議時套上 Snapchat 特效濾鏡之類的,稱為一個「設計產品時未預期的挑戰」,反而這段時間以來,世界各地的用戶卻都已看到 Zoom 在資訊安全上的「未預期性」失敗。
依據我們團隊所做的研究,Zoom 從其軟體設計的核心開始,就已經有安全方面的缺失,因此,更多的資安漏洞、以及更多的更新修補,對 Zoom 和其使用者而言,也都在可預見的未來中。這也同時能警醒所有開發人員,開發產品時,絕對不能為了可用性或任何原因,犧牲安全性、又或者在安全層面做出任何妥協。
不過值得讚賞的是,Zoom 官方對於遭到披露的漏洞,像是帳戶劫持、iOS 個人資料共享、Zoom 會議等候室安全漏洞、Zoom 轟炸大量增加,以及藉由特定手段繞過 macOS 安全預防措施等,皆展現出積極的處理態度,盡其所能地應對相關安全威脅。
資訊隱匿或誤導衍生的信賴感問題
除了軟體安全漏洞的問題外,有些與軟體本身無關的議題,即便我們認為這並不實際影響安全層面的風險,卻也確實造成了部分用戶對 Zoom 的不信賴。要知道,在資訊安全的世界裡,信賴是最重要的、它幾乎等同於一切。
許多的批評聲浪,來自於 Zoom 並未使用業界標準定義的端點對端點加密 (End-to-end Encryption) 方式,針對這一點的大量質疑,甚至迫使 Zoom 的產品管理部門主管 Oded Gal,在官方部落格上發表了一篇長文來說明並致歉。造就不信賴感的原因,其中之一是 Zoom 在官方文件中宣稱透過 AES-256 加密法保護影音及音訊的傳遞,卻被揭露實際上只用單把的 AES-128 金鑰以 ECB (Electronic Codebook) 模式加密傳輸。
相較之下,AES-128 確實比 AES-256 來得弱,但也不能就這樣宣稱它不安全,主要會不夠安全的部分,在於它使用了 ECB 作為加密模式;ECB 加密模式將密文拆分成數個區塊後各自加密,然而如此一來,相同的明文塊會被加密成相同的密文塊,使內容有跡可循、並非一個足夠嚴格且安全的資料保護方法。
對此,袁征也於部落格中再次發文道歉,並且承認 Zoom 在加密傳輸的設計上仍有進步空間。Zoom 5.0 版本已升級成 AES-256 GCB (Galois/Counter Mode) 模式進行加密。
而 Zoom 官方隱匿或誤導資訊的疑雲還不只如此,根據科技媒體《The Verge》的揭露,在 Zoom 即將掛牌上市那斯達克前,曾號稱每日有最高三億的「用戶 (Users)」使用,但事實上,這個數據僅應計算「會議主持人」,Zoom 卻把不應納入計算的「會議參與者」給一併算了進去,導致誤解;Zoom 隨後坦承他們在用詞上的瑕疵,說明他們是誤用了用戶一詞,他們所說的其實是「參與者 (Participants)」才對。據信,這個數值的縮水下調,影響 Zoom 的股價在 4 月 30 日當天下降了接近 9%,那天正巧是 Zoom 納入那斯達克 100 指數的日子。
結論?
Zoom 資安爭議可說是在疫情大爆發後,再次引發「安全性與可用性應如何取捨」討論的一個經典案例。儘管 Zoom 在這段時間內接連爆出許多安全疑慮(並發布對應的修補),但不可否認的是,透過網路執行視訊與語音通話,已是現代人們最常使用的一種溝通、聯繫方式;而 Zoom 幾乎無摩擦的使用者介面 (Frictionless UI) 設計,以及高度便利具可用性的各項功能(甚至前述提到的 Snapchat 濾鏡特效已經整合進去了),也使其不出意料地快速成長為世上最常被使用的應用程式之一。
倘若 Zoom 能成功度過這一波波的安全爭議、利用疫情期間累積的能量站穩其市場領導地位,並且努力地避免再次發生有損商譽或信賴度的事件,那麼,或許在未來的某一天,Zoom 就能夠成為市場上同類產品中最受歡迎、同時也最安全的一款;而持續遵循各項常見的協定或標準、以及它們定義的技術規範,將會是一個十分不錯的出發點。
當然,我們也持續等待 Zoom 官方釋出他們承諾過的透明度報告,或許看過報告內容,我們才能夠對 Zoom 未來在資訊安全以及市場拓展等方面的計畫,有再多一些些的了解吧。
無論 Zoom 最終的命運走向何方,今年這波資安爭議的延燒都清楚向大眾證明了,包含視訊會議軟體在內、所有軟體都應該要經過適當的安全性審查。一個應用程式被多數人喜愛和使用,並不代表它就是一個夠安全的軟體;於此同時,方便的功能與可用性,也永遠不應成為犧牲隱私、放棄安全防護的理由。
關於奧義智慧科技
世界領先 AI 資安公司,以創新 CyCraft AI 技術自動化資安防護,內建進階端點防護 (EDR)、全球威脅情資 (CTI)、次世代防毒 (NGAV)、網路偵測回應 (NDR) 並整合建構新一代 AI 資安戰情中心,獲得逾五十個政府機關、警政、國防單位,以及三成金融機構、數十家關鍵領域龍頭企業的信賴,市占率國內第一,客戶涵蓋政府機關、金融以及高科技等跨國企業與財星 500 大企業。
2020 年在美國 MITRE ATT&CK® 公開評測獲得最高偵測能力、最少人為介入、最低雜訊等亮眼成績;並獲美國頂尖創投 Momentum Cyber 列入全球資安產業地圖 (CyberScape) 的 EDR、Security Analytics 與 MDR 象限。從端點到網路、從調查到阻擋、從自建到託管,CyCraft AIR 涵蓋企業安全所需的一切面向,遵循 F/A/S/T 量化指標,提供客戶主動防禦,達到「威脅,視可而止」。
追蹤奧義智慧,掌握最新資訊安全情報:
想了解奧義智慧科技獲國際頂尖肯定 的 AI 資安防護產品與方案,保護您的單位端點不受惡意程式侵襲嗎?歡迎透過 contact@cycarrier.com 直接與我們聯繫!