Zoom 會議不支援端到端加密,再度引發資安疑慮

資安界所謂的「端對端加密」,指的是完全保護使用者的通訊內容,第三方無法取得解密的金鑰。
評論
▲Photo Credit: Shutterstock/ 達志影像
▲Photo Credit: Shutterstock/ 達志影像
評論

因遠距工作需求而逆勢成長的雲端視訊軟體 Zoom 最近不斷傳出各種資安疑慮。儘管 Zoom 在官網安全白皮書中表示,會議主持人可以啟用「端到端加密」(end-to-end encryption),以保障視訊會議內容不外洩,但媒體深入訪問後,卻得到不同答案。

根據 The InterceptThe Verge 報導,當媒體詢問 Zoom 發言人是否針對視訊會議進行端對端加密時,發言人回答:「目前 Zoom 平台還沒辦法把會議端對端加密。」

螢幕快照_2020-04-01_下午4_36_51
官網表示,會議主持人可以啟用端到端加密(Secure a meeting with end-to-end encryption)。▲Photo Credit:擷取自 Zoom 官網

雖然 Zoom 有採用傳輸層安全性協定(Transport Layer Security;TLS),與當前多數瀏覽器用來保護 HTTPS 網站的標準一致,但這只代表:使用者與 Zoom 伺服器之間交換數據時受到加密保護,就像我們在用 Gmail 或 Facebook 時一樣。

而資安界所謂的「端對端加密」,指的是完全保護使用者的通訊內容,第三方無法取得解密的金鑰,只有參與通訊的使用者可以取用內容,可防止被竊聽、被竄改,類似私密即時通訊軟體 Signal 或 WhatsApp 所採用的資安等級。

不過,Zoom 聲稱並沒有刻意誤導使用者,並表示之所以會提到「端到端」(end-to-end)這個詞,指的是「從 Zoom 端點到 Zoom 端點」之間會受到加密,且「內容在 Zoom 雲端平台傳輸時,不會被解密」。

Zoom 也表示,雖然有搜集數據,但只搜集那些可用來改善服務品質的相關數據,例如:IP 位址、操作系統和設備的詳細資訊等,Zoom 員工無法查看視訊會議的內容,也不會賣掉使用者的數據。不過,Zoom 會議裡的文字聊天內容的確有支援端到端加密,Zoom 沒有解密這些通訊內容的金鑰。

至於視訊會議內容,由於並非端到端加密,因此如果未來執法單位要求,Zoom 還是有可能把會議內容提供給當局。對此,Zoom 目前尚未回應。

核稿編輯:Chris

延伸閱讀:




精選熱門好工作

行銷企劃主管

安力國際開發股份有限公司
臺北市.台灣

獎勵 NT$15,000

Frontend Engineer

WeMo Scooter
臺北市.台灣

獎勵 NT$15,000

PHP 程式設計師 後端工程師

VeryBuy非常勸敗
臺北市.台灣

獎勵 NT$15,000