Zoom 送中?非標準加密,可向中國傳送加密訊息、密鑰

Zoom 官方也承認的確存在一些失誤,讓視訊會議內容可能傳往中國。
評論
Photo Credit:Reuters/達志影像
Photo Credit:Reuters/達志影像
評論

中國色彩濃厚的 Zoom 最近持續爆出資安問題,NASA、Elon Musk 因資安隱憂,下令禁用 Zoom。加拿大多倫多大學公民實驗室(Citzan Lab)研究人員最新報告,Zoom 透過非標準加密方式,向中國傳送加密訊息,Zoom 更編寫了自己的加密方法,讓北京部分 Zoom 伺服器可以獲取保護這些訊息、視訊會議的密鑰。

Zoom 執行長袁征(Eric Yuan)向外媒 TechCrunch 回應:在正常操作時,Zoom 用戶端會嘗試連接到區域內及鄰近的主要數據中心,若多次嘗試連接卻仍因為網路擁塞或其他問題導致連線而失敗,將重新連接清單中的輔助數據中心。特別是在網路數據流量激增時,透過備用數據中心清單讓用戶端能連接使 Zoom 的服務保持穩定性。

然而,Zoom 在 2 月份表示,為了滿足中國快速增加用量,同時也將中國列入了備份數據中心的國際白名單,也就是說,非中國用戶在其他地區的數據中心會連接到中國伺服器,對此,Zoom 表示這是在極其有限的情況下才會發生的。不過,Zoom 發言人沒有具體指出化受影響的用戶數。

究竟為何稱端到端加密,先前 Zoom 則辯稱並沒有刻意誤導用戶,之所以會說「端到端」(end-to-end),是指「從 Zoom 端點到 Zoom 端點」間受到加密,且內容在 Zoom 雲端平台傳輸時,不會被解密。

Zoom 聲稱目前已經修改數據中心白名單,而公司專用及政府計劃的用戶不受此影響,即便如此還是難以解決及資安疑慮,畢竟仍然是自己的加密技術,公民實驗室(Citizen Lab)批評 Zoom 推出自己的加密技術,建立自己的加密方案,一直以來,專家就非常不認同公司建立自己的加密技術,安全性無法和數十年經過嚴格的審查的加密標準相比。

Zoom 在中國設有子公司,將密鑰發送到中國也讓人存疑。根據 Zoom 自己SEC文件顯示,在中國僱用了 700 名員工從事研發工作。 對於一連串資安引發的危機,Zoom 也宣布未來 90 天暫停新功能開發,與專家研議新的安全功能,編寫數據透明度報告,並擴大「漏洞賞金」計劃。

雖然 Zoom 齊全的會義功能相當好用,但是如果對資安有疑慮還是可以尋找其他管道,也可參考 INSIDE 本篇【當我們硬塞在家】遠距開會的視訊軟體,該用哪一個?除了 Zoom 以外,其他軟體之間的差異,找尋合適的視訊會議軟體。

核稿編輯:李柏鋒

延伸閱讀:




精選熱門好工作

公關活動企劃專員

八方采整合行銷有限公司
新北市.台灣

獎勵 NT$15,000

網頁設計師(台北)

雷麒科技有限公司
桃園市.台灣

獎勵 NT$15,000

資深UX 設計師

萬欣網路科技有限公司
臺北市.台灣

獎勵 NT$15,000