【用戶數暴增20倍，Zoom的資安隱憂成各界焦點】Zoom接連爆發隱私與安全問題

隨著武漢肺炎疫情擴散至全球，遠端協作與視訊會議需求大增，在這樣的風潮之下，有一家雲端視訊會議業者Zoom，其安全議題掀起相當大的波瀾，因為他們提供的SaaS服務在資安加密的做法引爭議，以及資安漏洞接連被爆出，成為矚目焦點。

儘管該公司近期的漏洞修補都很即時，但卻被人發現誇大其安全性，也有會議金鑰經中國伺服器傳送的狀況，再加上過去他們對於隱私與資安的不夠重視，也被重新被檢討，更是牽動著各界對於該公司產品的看法。這樣的態勢，不僅導致使用者被迫臨時改選用其他平臺，甚至，也促使全球開始有企業與政府開始規範要求禁用。到底，這次Zoom是如何引發資安爭議與關注呢？

遠距工作安全風險成焦點，提醒用戶注意安全使用Zoom

在疫情衝擊之下，為防止群聚感染傳播的風險，現在政府機關與企業都制定了遠距工作對策，以此作為顧及持續營運的重要防疫措施，在此態勢之下，遠距工作時所要注意的相關資安風險，也成企業與個人的關注重點。

例如，需注意公司VPN的安全管理，以及資料存取與身分驗證等面向，而視訊會議工具的安全使用，也成不容忽略的一環。

的確，近期各界使用視訊會議的需求暴增。從視訊會議程式的下載次數，可以看出其熱門程度，根據行動程式分析機構App Annie的分析統計，單是3月中旬的一周下載量，不論是Google Hangouts Meet（現稱Google Meet）、Microsoft Teams與Zoom等，與2019年第四季的週平均相比，幾乎都有10倍到30倍的超高成長。而這樣的現象，也使得各協作平臺也傳出連線不穩與斷線的狀況，原因就是同時上線用戶太多，導致系統難以負荷。

但沒想到的是，在提醒使用者注意遠端工作安全的趨勢之下，在3月下旬，視訊會議Zoom成為資安焦點，並且爆出了一連串的隱私與資安問題。

例如，在3月26日，資安業者Check Point發布了安全使用Zoom的四大注意事項，包括隨時更新軟體、啟用會議密碼、管理與會者發言，以及隨時為會議記錄影片洩漏做好準備。

事實上，Check Point之所以這麼做，是因為他們在去年7月22日曾通報Zoom的安全問題，指出攻擊者將能透過猜測Zoom會議連結的會議ID（隨機9碼、10碼與11碼數字），偷偷加入到會議之中，並提及缺乏會議密碼保護的問題，而他們的研究人員利用隨機產生的會議ID，以自動化方式找出4%有效會議。無獨有偶，另一家資安業者Cequence Security，也曾揭露相關的安全問題。

對於這樣的問題，其實Zoom在3月20日也於官方部落格提出建議，告知用戶如何避免不速之客闖入。

在臺灣，中央研究院的2位專家也在3月26日於部落格發表文章，該單位資訊服務處呂紹勳與資訊科學所研究員陳伶志，特別針對Zoom提供安全使用上的建議，在網路上受到相當大的關注。當中雖無揭露具體事證，但也整理了對於Zoom資安隱憂的正反方意見，而最令人不安之處在於，Zoom開發團隊皆在中國境內，而中國政府向來有干預境內高科技公司的前例。

在短短一周內，Zoom接連不斷的隱私與安全漏洞被爆出

但這場資安風暴才剛剛開始。

雖然Zoom在2019年曾被揭露的幾個資安漏洞，但都已是過去式，弱點早已被修復，卻也在此時被重新議論，更沒想到的是，新的隱私與漏洞問題遭連續爆出，讓Zoom在短短一周時間內，深陷隱私與安全的泥沼。

首先，在3月24日，一名代號為@_g0dmod的安全人員在推特上指出，Windows版Zoom程式的聊天功能，可張貼像是\\x.x.x.x\xyz之類的連結，此問題，將讓他人嘗試竊取點擊者的NTLM雜湊密碼。屬於UNC注入漏洞。

在3月26日，科技網站Motherboard揭露iOS版Zoom程式的隱私問題，在使用者不知情的狀況下，這支App將資料傳送給臉書，但在Zoom的隱私政策中，只說明可能會蒐集用戶在臉書上的個人檔案資訊。隔日，Zoom立即移除臉書SDK以撇清關係。

到了3月30日，Zoom的安全風暴越演越烈，隨著使用人數的大幅成長，更多Zoom的漏洞討論快速獲得關注。

首先，網路安全公司VMRay的惡意程式研究人員Felix Seele，在推特上指出macOS版的Zoom程式的安裝問題，質疑為何使用者不用點擊就可以完成，於是，他決定著手進行深入的研究；接著，另一macOS安全研究人員Patrick Wardle（網路暱稱為Objective-See），也從Felix Seele的發現找出其他問題，在部落格上直接公開其發現，他指出Mac版Zoom程式存在可偷偷存取Mac網路攝影機與麥克風的安全漏洞。

同日，美國聯邦調查局（FBI）發出公告，提醒大家需注意干擾視訊會議的亂象，並舉出兩起當地麻州學校在使用Zoom進行線上教學遭亂入的案例，警告用戶注意這樣的行為，並建議使用者應落實管控，例如，舉行的會議或課程不應設為公開，以及設定會議密碼與會議主持人管理等措施。

接下來的幾日，更是天天都有Zoom的相關新聞曝光，有些是新的問題，有些是相關事件的後續。

例如，英國首相Boris Johnson在3月31日於推特上張貼了一張照片，表示自己用Zoom與內閣成員開會，但照片暴露了會議ID等 資訊，引發安全爭議。

同時，國外媒體陸續揭發更多問題及不同單位禁用Zoom的消息。例如，在3月31日，根據The Intercept爆料指出，Zoom的端對端加密技術，只有應用在文字傳輸，而視訊與音訊的傳輸並沒有；在4月1日，根據路透社報導，美國太空公司SpaceX在3月28日就以電子郵件通知員工，要禁止使用Zoom，而美國太空總署（NASA）也同樣禁用。

同時，先前指出Mac版Zoom程式安全問題的VMRay研究人員Felix Seele，在官方部落格也公布其完整研究發現，當中提到Zoom的安裝使用了與MacOS惡意軟體相同的技巧，並有誤導性的說明。

創辦人上火線，Zoom公開承諾要在90天內強化資安

【Zoom宣布90天資安強化計畫】視訊會議平臺Zoom被揭露的一連串隱私與安全問題，該公司執行長袁征（Eric S. Yuan）在4月1日出面回應與道歉，指出暴增的用戶數為他們的服務帶來挑戰，允諾將在90天內專注於安全及隱私問題的改善。到了4月8日，他們也宣布將設立資安長會議與顧問委員會。

面對種種的產品安全疑慮，在4月1日，Zoom的創辦人暨執行長袁征（Eric S. Yuan）在部落格上親自道歉，說明用戶數在三個月內從1千萬暴增至2億，如此暴增的用戶數與各式使用情境，其實超出了Zoom的規畫，他並承諾，將在90天內暫緩開發新功能，將資源完全投入以解決平臺的安全及隱私問題。

關於近期被揭露的資安漏洞，Zoom也採取行動。例如，先前研究人員@_g0dmod指出的Windows版Zoom程式安全問題，在日前獲得其他研究人員證實，並曝光於媒體後，他表示Zoom已修補這個UNC連結的安全問題，同時修補前幾日的Mac版Zoom程式漏洞，並更新資料蒐集的隱私政策。

Zoom對於漏洞的快速修補，也受到不少資安研究人員的肯定。他們認為，Zoom近期的產品安全應變做得很不錯，其中也包括發現Zoom漏洞的Felix Seele，他在推特上表示，Zoom的快速修補令他印象深刻。

只是，雖然Zoom更明確地揭露該平臺的加密能力，也表示他們沒有建立解密的機制，但先前號稱端對端加密卻不實的情形，顯然其安全問題可能不小。

確實，事情並未就此告一段落。儘管Zoom對於新漏洞的修補很即時，也已經大動作表明要強化其產品安全，但是，接下來，又有一波新的問題曝光，再讓大眾對Zoom的資安無法放心。

資訊安全與人權團體發布研究報告，再次揭發Zoom更多安全隱憂

在4月3日，加拿大多倫多大學市民實驗室（Citizen Lab）的研究人員發布研究報告，為Zoom的不夠安全投下震撼彈。該報告指出三大重要發現，首先，是Zoom宣稱使用256位元的AES加密金鑰，但其實只有128位元，並且是較不理想的ECB模式；其次，是Zoom使用了上述非標準的加密方式，而且會議金鑰在特定情況會經中國伺服器產生與傳送；第三，則指出擔心Zoom會受制於中國政府的問題。

綜觀這次研究報告的內容，Citizen Lab發現，Zoom在加密方面有誇大安全性之嫌，並指出未採用最佳安全實務設計，而會議的加密金鑰傳送至中國伺服器一事，雖然他們沒有具體事證指出中國官方實際介入取得，但也無法忽視因此暴露的可能風險。

而這份報告一公開，也讓Zoom的品牌形象再次受影響，而Zoom執行長袁征在同日於官方部落格快速做出回應。他表示，在地理圍欄的機制方面，通常Zoom是依據用戶位置來決定所使用的資料中心，但如果多次連線失敗，將連線至兩個備用的資料中心。只不過，今年2月他們為了暴增的連線需求，在匆忙之中，不慎錯誤將兩個位於中國的資料中心，加入到國際備用伺服器的白名單，進而導致美國服務連往中國伺服器的情況，現在他們已修正此問題；對於加密的議題，袁征則表示會與第三方專家共同討論，以找出更適合的解決方案。顯然，他們希望藉由坦承錯誤，以重新贏得大眾信任。

陸續有多國高機敏單位、政府機關，以及教育與企業單位宣布禁用

只是，不信任的效應已經形成，並遍及全球各地。繼先前SpaceX與NASA禁用後，在4月4日，根據美國媒體CNN的報導，指出紐約市教育局發言人Danielle Filson正指示當地學校，盡快停止使用Zoom。

在臺灣，Zoom很早就進入臺灣市場，國內已有許多使用者，因此，大家對於Zoom的議題也同樣相當關心，而陸續傳出停用消息。例如，在4月6日傍晚，中華電信率先宣布，在釐清資安疑慮前，先停售該公司的Zoom服務方案，4月7日，行政院資通安全處也對遠端視訊的使用發出公告，指出應以國內產品及共同供應契約所列品項為優先，並已通函國內公務機關與非公務機關，不應用Zoom。

接下來，教育部也在同日下午發表聲明，指出在收到第1091069976號函後，將通知各級學校全面禁用，同時也會移除教育雲之線上學習頁面的使用說明文件。不過，這樣急轉彎的政策，卻在國內教育界引起不小的反彈聲浪，例如，已有很多學校的老師與學生開始學習用Zoom線上教學，而部分人士認為，在不需要考量保護機密性的狀況下，教育單位不一定要禁用。

為了強調在資安的投入，Zoom在4月8日宣布成立資安長會議及顧問委員會，將找來VMWare、Netflix、Uber等多家公司的CISO擔任成員，並將聘請前臉書安全長Alex Stamos擔任外部資安顧問，希望挽回消費者信心。

但是，難以讓用戶繼續信任Zoom的狀況，還是持續上演。例如，又有以色列安全情報業者Sixgill的消息，指出有駭客在暗網公布352個Zoom帳號的名單。

後續，國際間則是出現更多禁用Zoom的消息，包括政府機關與企業。例如，在4月6日，根據澳洲媒體The Australian的報導，當地禁止國防人員使用Zoom來進行視訊會議。在4月8日，美國媒體BuzzFeed News報導，指出Google其實在上個星期，就已經以電子郵件通知員工禁用Zoom，說明該工具未符合內部使用程式的安全標準，因此將限制Zoom在企業電腦上的執行；同樣是在8日，德國媒體Handelsblatt報導了該國外交部通知機關人員，禁止在公家裝置使用Zoom，但考量合作夥伴可能使用，因此通融以個人裝置用Zoom進行公事交流。

而在4月9日，根據美國Cnet等媒體報導，美國參議院也要求所有的議員不要使用Zoom；而新加坡也傳出教育部要求教師暫停使用Zoom，根據當地媒體Channel News Asia報導，當地教育部在收到Zoom Bombing事件的報告後，為了預防起見，也要教師暫停使用Zoom，而在相隔4日後，才又允許逐步恢復使用。

無論如何，儘管Zoom強調要在90天強化資安，但目前事件還在持續，不只是漏洞接連爆出，而先前被揭露其產品並非真的貫徹端對端加密，以及加密作法不夠周延，還有會議金鑰誤經中國資料中心等安全問題，再加上許多事件突顯該公司有誤導、欺騙性的行為，上述這些被公開的資安問題，都暴露其產品的高風險性。

此外，我們也要提醒大家不只是注意單一廠商，更難防的是，他們生產的軟體元件，也可能輸出給其他廠商使用，而以不同廠牌的解決方案供應給用戶。例如，去年就有研究人員提出相關發現，市面上兩款取得Zoom技術授權的視訊會議App：RingCentral和Zhumu，存在與Zoom相同的弱點。

何謂Zoom Bombing？

若要防止與會者擅自分享螢幕畫面干擾開會，主持人在會議前或會議進行時，可以在Zoom的進階設定選項中，限制僅主持人可以共享螢幕畫面。

在Zoom本身的多項隱私與資安漏洞之外，近期最多討論的安全問題就是Zoom Bombing，簡單來說，就是有其他使用者擅自闖入視訊會議的行為，並且故意在視訊畫面上分享色情或冒犯性的內容，干擾了會議的正常進行。

為何這些人能夠做出這樣的惡作劇行為？這事因為，他們可以找到公開在網路上的Zoom會議連結網址或會議ID，或是透過自動化工具找出有回應的會議ID。

對於如何不被外人闖入的問題，Zoom於官方部落格中，建議了3大使用原則。

（一）要對螢幕的控制權有所掌握：在會議前或進行期間，設定自己是唯一可分享螢幕的成員

（二）應做好與會者的管理：包括會議鎖定與刪除不需要的參與者等，而現在所有單一會議室主持人在召開會議時，需要強制設定密碼，用戶也應每次會議都設立不同的會議密碼

（三）開啟等候室的功能：讓與會者不會立即進入會議，需要會議主持人一個個手動批准與會者進入會議室。

市面上有那些雲端視訊會議平臺？

早年的網頁視訊會議，多數企業最為熟知的產品就是Webex、GotoMeeting，直到後來行動裝置、雲端興起，以及視訊壓縮技術的進步下，在6、7年前，我們看到雲端視訊服務產品的興起，包括Zoom、Blue Jeans、Fuze、Starleaf與Vidyo等。在這些產品當中，我們看到像是Zoom與Vidyo等，都進入臺灣市場，其他新興服務在國內的知名度則不高。

以當時的Zoom而言，最大特色就是介面相當簡單直覺，雖然提供的操作功能項目還不如老牌產品，但當時以免費版與低價推出市場，加上其他新興雲端視訊未進入臺灣市場，又有正體中文介面語系的支援，因此獲得不少用戶青睞。而在這麼多年發展之後，Zoom在全球市場同樣大有斬獲，已是這些視訊會議新創中最知名的業者。

另一方面，除了硬體視訊會議與雲端視訊會議的介接變得更普遍，早年強調的整合通訊也朝向雲端協作平臺的潮流來發展，像是微軟從Lync到Skype for Business，到現在的Microsoft Teams，而從雲端出發的Google，本身也提供Hangouts Meet（現改名為Google Meet）。

另外，還有一些雲端視訊會議產品的動向，也很值得一提，例如，早年我們介紹過的GotoMeeting與Join.me，現在成為LogMeIn旗下產品，而硬體視訊業者Lifesize後來也順應了雲端潮流，推出了Lifesize Cloud，該公司之後則被羅技併購，不過，這些產品在國內受關注的程度是比較小；另外，還有影像編輯軟體大廠Adobe很早推出的Adobe Connect，近年也活躍於臺灣教育市場。

此外，以PowerDVD聞名的訊連科技，在2017年開始切入此一領域，是起步較晚的業者，並是少見的臺灣產品；至於國內的共同供應契約當中，我們還看到一些市面上較少注意到的產品，例如，狀態網際網路的Status PowerMeeting，泰溥科技的TOPMeeting，以及太御科技（JoinNet）代理的美國HomeMeeting等多款產品。而在開源軟體產品中，近年則有Jitsi Meet受到不少使用者推薦。

附帶一提的是，原是屬於遠端控制類型的工具軟體，其實也有加入視訊會議的功能，例如TeamViewer，因為技術相近，但使用者必須對這類軟體的功能有所認識，它的功能還包括遠端控制你或對方電腦，不只是單純的視訊會議軟體。

 相關報導  為何Zoom資安受到各界質疑？