24/04/2020
【大起大落】Zoom為何從科網新寵,變成深陷資安醜聞的眾矢之的?
在新冠肺炎疫情下,遠距工作與網上教學已成為上班族與學生們的日常作息常態,因而令視像會議軟件的需求大增,其中以Zoom最受歡迎,其用戶人數在疫情期間暴増20倍,達至2億之數!但隨著大量用戶湧入,Zoom卻接連被爆出存有資訊安全漏洞,不但遭多國政府部門和大型企業棄用,更要面對多宗法律訴訟,彷彿一下子從天堂跌落到地獄。到底該公司出了甚麼問題呢?
其實,市面上不乏視像會議軟件,當中更有科技巨擘的出品如Google Meet、Microsoft Teams等,為甚麼爆紅的是Zoom呢?只因Zoom使用起來真的非常方便。會議主持人只需向參與者發送一個簡單的連結,點一下連結即可進入會議;又或者發給參與者一組會議ID編號,輸入後就可參與會議。
如此便利的操作方式,自然吸引了一大群因疫情而初次接觸視像會議的人嘗試採用;加上Zoom把免費版本只限40分鐘內10人與會的規定放寬到100人,如是學校用戶的話,更不設40分鐘限制,結果令Zoom火速爆紅起來。除網上授課外,還有人透過Zoom舉行生日會、音樂會、宗教聚會,甚至葬禮等。
Zoom除操作簡易外,還提供不少有趣功能,譬如虛擬背景功能,可讓用戶恍如置身於三藩市金門大橋或海灘前開會。(圖片來源:Zoom官網)
不過,便利操作背後卻隱藏了資安問題。Zoom的會議連結或ID很容易被黑客截取,進而闖入會議騷擾與會者,造成一連串「Zoom轟炸(Zoombombing)」事件。較早前,新加坡一群女學生透過Zoom上地理課時,畫面突然顯示猥褻圖像,並有一名奇怪男子叫女同學展示私人部位,致使新加坡教育部一度叫停Zoom教學。
更嚴重的是,Zoom自3月下旬起屢被揭發存有不同的保安漏洞,爆發用戶私隱洩漏危機。3月26日,科技網站Motherboard爆料指,iOS版Zoom軟件在用戶不知情下,將其個人資料傳送給Facebook。
3月31日,網絡安全公司VMRay的研究人員指出,Mac版Zoom軟件在不需用戶作最後確認的情況下,便會自行將軟件安裝到Mac機,做法近似惡意程式。另一網名為「Objective-See」的資安研究人員亦發現,Mac版Zoom軟件竟可偷偷存取Mac機的視像鏡頭和收音咪。新聞網站The Intercept更揭露,Zoom宣稱軟件提供的端對端加密技術,原來僅應用在文字通訊上,視像和聲音通訊反而沒有。
加拿大多倫多大學網絡研究機構「公民實驗室(Citizen Lab)」於4月3日發表的研究報告,更對Zoom帶來沉重打擊。Citizen Lab指出,Zoom宣稱軟件採用AES-256加密算法,但測試後發現只是用上規格低一級的AES-128加密金鑰,同時更是在安全性較差的ECB電子密碼本模式下執行。該實驗室又發現,即使Zoom用戶身處北美地區,加密金鑰有機會經由中國的伺服器產生與傳送。因此,Citizen Lab建議,如會議內容涉及高度機密資料,不宜使用Zoom。
面對各方指摘,Zoom創辦人暨執行長袁征也心知不妙,多次親自出面撲火。4月1日,他在官方網誌上親自道歉,承諾在90天內暫停開發新功能,將所有資源調撥至修補資安漏洞。Citizen Lab報告發表後,袁征又即日在網誌上解釋,為應付近期暴增的用戶量,匆忙中「錯誤地」將2個位於中國的數據中心加入到備用伺服器名單,以致出現美國服務連線至中國伺服器的情況,現已修復問題。
Citizen Lab的研究報告指出,Zoom在加密技術上有誇大安全性之嫌,又沒有採用最安全而實務的防護設計。(圖片來源:Citizen Lab官網)
Zoom現已容許付費用戶可揀選使用哪個地區的數據中心,除中國外,可供選擇的還有日本、美國、加拿大和歐洲等。(圖片來源:Zoom官網)
儘管袁征積極表現出坦承錯誤的態度,惟對Zoom的不信任已在全球各處遍地開花。美國太空總署、英國國防部、澳洲國防部、德國外交部、台灣政府機構均嚴禁部門人員使用Zoom。私人企業方面,Google母公司Alphabet禁止員工在公司電腦使用Zoom;電動車廠商Tesla與航太科技公司SpaceX也不准員工再用Zoom;更有消息指,渣打銀行以網絡安全為由,已要求員工停用Zoom。
有見及此,Zoom遂宣布成立資訊安全長會議及顧問委員會,找來Netflix、Uber等多家公司的資訊安全長擔任成員,又招攬Facebook前資訊安全長史塔莫斯(Alex Stamos)出任外部資安顧問,以挽回用戶信心。
可是,令用戶難以繼續信任Zoom的狀況,卻又持續發生。以色列網絡安全公司Sixgill發現,有黑客於4月1日在暗網(dark web)討論區貼出352個Zoom帳戶的名單。另一家網絡安全公司Cyble亦追蹤到一名黑客,自4月起在黑客論壇張貼Zoom帳戶資料,包含佛羅里達大學、佛蒙特大學等290間院校的用戶電郵地址與密碼。Cyble更發現,有逾53萬個Zoom帳戶資料在論壇上開賣,於是嘗試買下所有資料,最終以每個帳戶0.002美元(約0.016港元)的價格成功購入,當中竟然有摩根大通、花旗銀行等金融機構的用戶資料。
Cyble向網媒BleepingComputer透露,從黑客手上購入的53萬個Zoom帳戶資料,包含電郵地址、密碼、會議主持人密鑰(hostkey)與會議連結。(圖片來源:BleepingComputer)
除此以外,Zoom還要被多宗官司纏身。美國加州已有首宗基於《消費者私隱法案》,控告Zoom對用戶私隱保護不周的訴訟。另外,Pomerantz律師事務所宣布代表Zoom股東向該公司及部分高層提出集體訴訟,認為Zoom誇大產品的私隱保護標準,隱瞞軟件本身設計漏洞,結果被傳媒揭發後公司股價大跌,故此要求賠償。
來自中國山東的袁征於2011年在美國創辦Zoom,2019年4月在納斯達克上市,當時市值達159億美元(約1,240億港元)。近期因資安問題,使公司股價下跌,但《Forbes》網站估計,袁征仍然坐擁70億美元(約546億港元)的身家。(圖片來源:Zoom官網)
Zoom的成功之處在於軟件操作簡單便利,有效簡化繁複的視像會議作業流程,但也因為過於專注便利性,以致忽略了產品安全性。袁征也承認,安全性與便利性之間可能存有矛盾,更坦言:「或許是時候重新審視這一點了。」這究竟會是「亡羊補牢,未為晚也」,還是「覆水難收,無以為繼」呢?Zoom往後如何走下去,還有待觀望。
【你點睇?】財政預算案展開公眾諮詢,學者倡問責官員減薪並削減公務員編制,你是否認同? ► 立即投票