隨著武漢肺炎疫情擴散至全球,遠端協作與視訊會議需求大增,在這樣的風潮之下,有一家雲端視訊會議業者Zoom,其安全議題掀起相當大的波瀾,因為他們提供的SaaS服務在資安加密的做法引爭議,以及資安漏洞接連被爆出,成為矚目焦點。
儘管該公司近期的漏洞修補都很即時,但卻被人發現誇大其安全性,也有會議金鑰經中國伺服器傳送的狀況,再加上過去他們對於隱私與資安的不夠重視,也被重新被檢討,更是牽動著各界對於該公司產品的看法。這樣的態勢,不僅導致使用者被迫臨時改選用其他平臺,甚至,也促使全球開始有企業與政府開始規範要求禁用。到底,這次Zoom是如何引發資安爭議與關注呢?
遠距工作安全風險成焦點,提醒用戶注意安全使用Zoom
在疫情衝擊之下,為防止群聚感染傳播的風險,現在政府機關與企業都制定了遠距工作對策,以此作為顧及持續營運的重要防疫措施,在此態勢之下,遠距工作時所要注意的相關資安風險,也成企業與個人的關注重點。
例如,需注意公司VPN的安全管理,以及資料存取與身分驗證等面向,而視訊會議工具的安全使用,也成不容忽略的一環。
的確,近期各界使用視訊會議的需求暴增。從視訊會議程式的下載次數,可以看出其熱門程度,根據行動程式分析機構App Annie的分析統計,單是3月中旬的一周下載量,不論是Google Hangouts Meet(現稱Google Meet)、Microsoft Teams與Zoom等,與2019年第四季的週平均相比,幾乎都有10倍到30倍的超高成長。而這樣的現象,也使得各協作平臺也傳出連線不穩與斷線的狀況,原因就是同時上線用戶太多,導致系統難以負荷。
但沒想到的是,在提醒使用者注意遠端工作安全的趨勢之下,在3月下旬,視訊會議Zoom成為資安焦點,並且爆出了一連串的隱私與資安問題。
例如,在3月26日,資安業者Check Point發布了安全使用Zoom的四大注意事項,包括隨時更新軟體、啟用會議密碼、管理與會者發言,以及隨時為會議記錄影片洩漏做好準備。
事實上,Check Point之所以這麼做,是因為他們在去年7月22日曾通報Zoom的安全問題,指出攻擊者將能透過猜測Zoom會議連結的會議ID(隨機9碼、10碼與11碼數字),偷偷加入到會議之中,並提及缺乏會議密碼保護的問題,而他們的研究人員利用隨機產生的會議ID,以自動化方式找出4%有效會議。無獨有偶,另一家資安業者Cequence Security,也曾揭露相關的安全問題。
對於這樣的問題,其實Zoom在3月20日也於官方部落格提出建議,告知用戶如何避免不速之客闖入。
在臺灣,中央研究院的2位專家也在3月26日於部落格發表文章,該單位資訊服務處呂紹勳與資訊科學所研究員陳伶志,特別針對Zoom提供安全使用上的建議,在網路上受到相當大的關注。當中雖無揭露具體事證,但也整理了對於Zoom資安隱憂的正反方意見,而最令人不安之處在於,Zoom開發團隊皆在中國境內,而中國政府向來有干預境內高科技公司的前例。
在短短一周內,Zoom接連不斷的隱私與安全漏洞被爆出
但這場資安風暴才剛剛開始。
雖然Zoom在2019年曾被揭露的幾個資安漏洞,但都已是過去式,弱點早已被修復,卻也在此時被重新議論,更沒想到的是,新的隱私與漏洞問題遭連續爆出,讓Zoom在短短一周時間內,深陷隱私與安全的泥沼。
首先,在3月24日,一名代號為@_g0dmod的安全人員在推特上指出,Windows版Zoom程式的聊天功能,可張貼像是\\x.x.x.x\xyz之類的連結,此問題,將讓他人嘗試竊取點擊者的NTLM雜湊密碼。屬於UNC注入漏洞。
在3月26日,科技網站Motherboard揭露iOS版Zoom程式的隱私問題,在使用者不知情的狀況下,這支App將資料傳送給臉書,但在Zoom的隱私政策中,只說明可能會蒐集用戶在臉書上的個人檔案資訊。隔日,Zoom立即移除臉書SDK以撇清關係。
到了3月30日,Zoom的安全風暴越演越烈,隨著使用人數的大幅成長,更多Zoom的漏洞討論快速獲得關注。
首先,網路安全公司VMRay的惡意程式研究人員Felix Seele,在推特上指出macOS版的Zoom程式的安裝問題,質疑為何使用者不用點擊就可以完成,於是,他決定著手進行深入的研究;接著,另一macOS安全研究人員Patrick Wardle(網路暱稱為Objective-See),也從Felix Seele的發現找出其他問題,在部落格上直接公開其發現,他指出Mac版Zoom程式存在可偷偷存取Mac網路攝影機與麥克風的安全漏洞。
同日,美國聯邦調查局(FBI)發出公告,提醒大家需注意干擾視訊會議的亂象,並舉出兩起當地麻州學校在使用Zoom進行線上教學遭亂入的案例,警告用戶注意這樣的行為,並建議使用者應落實管控,例如,舉行的會議或課程不應設為公開,以及設定會議密碼與會議主持人管理等措施。
接下來的幾日,更是天天都有Zoom的相關新聞曝光,有些是新的問題,有些是相關事件的後續。
例如,英國首相Boris Johnson在3月31日於推特上張貼了一張照片,表示自己用Zoom與內閣成員開會,但照片暴露了會議ID等 資訊,引發安全爭議。
同時,國外媒體陸續揭發更多問題及不同單位禁用Zoom的消息。例如,在3月31日,根據The Intercept爆料指出,Zoom的端對端加密技術,只有應用在文字傳輸,而視訊與音訊的傳輸並沒有;在4月1日,根據路透社報導,美國太空公司SpaceX在3月28日就以電子郵件通知員工,要禁止使用Zoom,而美國太空總署(NASA)也同樣禁用。
同時,先前指出Mac版Zoom程式安全問題的VMRay研究人員Felix Seele,在官方部落格也公布其完整研究發現,當中提到Zoom的安裝使用了與MacOS惡意軟體相同的技巧,並有誤導性的說明。
創辦人上火線,Zoom公開承諾要在90天內強化資安
【Zoom宣布90天資安強化計畫】視訊會議平臺Zoom被揭露的一連串隱私與安全問題,該公司執行長袁征(Eric S. Yuan)在4月1日出面回應與道歉,指出暴增的用戶數為他們的服務帶來挑戰,允諾將在90天內專注於安全及隱私問題的改善。到了4月8日,他們也宣布將設立資安長會議與顧問委員會。 |
面對種種的產品安全疑慮,在4月1日,Zoom的創辦人暨執行長袁征(Eric S. Yuan)在部落格上親自道歉,說明用戶數在三個月內從1千萬暴增至2億,如此暴增的用戶數與各式使用情境,其實超出了Zoom的規畫,他並承諾,將在90天內暫緩開發新功能,將資源完全投入以解決平臺的安全及隱私問題。
關於近期被揭露的資安漏洞,Zoom也採取行動。例如,先前研究人員@_g0dmod指出的Windows版Zoom程式安全問題,在日前獲得其他研究人員證實,並曝光於媒體後,他表示Zoom已修補這個UNC連結的安全問題,同時修補前幾日的Mac版Zoom程式漏洞,並更新資料蒐集的隱私政策。
Zoom對於漏洞的快速修補,也受到不少資安研究人員的肯定。他們認為,Zoom近期的產品安全應變做得很不錯,其中也包括發現Zoom漏洞的Felix Seele,他在推特上表示,Zoom的快速修補令他印象深刻。
只是,雖然Zoom更明確地揭露該平臺的加密能力,也表示他們沒有建立解密的機制,但先前號稱端對端加密卻不實的情形,顯然其安全問題可能不小。
確實,事情並未就此告一段落。儘管Zoom對於新漏洞的修補很即時,也已經大動作表明要強化其產品安全,但是,接下來,又有一波新的問題曝光,再讓大眾對Zoom的資安無法放心。
資訊安全與人權團體發布研究報告,再次揭發Zoom更多安全隱憂
在4月3日,加拿大多倫多大學市民實驗室(Citizen Lab)的研究人員發布研究報告,為Zoom的不夠安全投下震撼彈。該報告指出三大重要發現,首先,是Zoom宣稱使用256位元的AES加密金鑰,但其實只有128位元,並且是較不理想的ECB模式;其次,是Zoom使用了上述非標準的加密方式,而且會議金鑰在特定情況會經中國伺服器產生與傳送;第三,則指出擔心Zoom會受制於中國政府的問題。
綜觀這次研究報告的內容,Citizen Lab發現,Zoom在加密方面有誇大安全性之嫌,並指出未採用最佳安全實務設計,而會議的加密金鑰傳送至中國伺服器一事,雖然他們沒有具體事證指出中國官方實際介入取得,但也無法忽視因此暴露的可能風險。
而這份報告一公開,也讓Zoom的品牌形象再次受影響,而Zoom執行長袁征在同日於官方部落格快速做出回應。他表示,在地理圍欄的機制方面,通常Zoom是依據用戶位置來決定所使用的資料中心,但如果多次連線失敗,將連線至兩個備用的資料中心。只不過,今年2月他們為了暴增的連線需求,在匆忙之中,不慎錯誤將兩個位於中國的資料中心,加入到國際備用伺服器的白名單,進而導致美國服務連往中國伺服器的情況,現在他們已修正此問題;對於加密的議題,袁征則表示會與第三方專家共同討論,以找出更適合的解決方案。顯然,他們希望藉由坦承錯誤,以重新贏得大眾信任。
陸續有多國高機敏單位、政府機關,以及教育與企業單位宣布禁用
只是,不信任的效應已經形成,並遍及全球各地。繼先前SpaceX與NASA禁用後,在4月4日,根據美國媒體CNN的報導,指出紐約市教育局發言人Danielle Filson正指示當地學校,盡快停止使用Zoom。
在臺灣,Zoom很早就進入臺灣市場,國內已有許多使用者,因此,大家對於Zoom的議題也同樣相當關心,而陸續傳出停用消息。例如,在4月6日傍晚,中華電信率先宣布,在釐清資安疑慮前,先停售該公司的Zoom服務方案,4月7日,行政院資通安全處也對遠端視訊的使用發出公告,指出應以國內產品及共同供應契約所列品項為優先,並已通函國內公務機關與非公務機關,不應用Zoom。
接下來,教育部也在同日下午發表聲明,指出在收到第1091069976號函後,將通知各級學校全面禁用,同時也會移除教育雲之線上學習頁面的使用說明文件。不過,這樣急轉彎的政策,卻在國內教育界引起不小的反彈聲浪,例如,已有很多學校的老師與學生開始學習用Zoom線上教學,而部分人士認為,在不需要考量保護機密性的狀況下,教育單位不一定要禁用。
為了強調在資安的投入,Zoom在4月8日宣布成立資安長會議及顧問委員會,將找來VMWare、Netflix、Uber等多家公司的CISO擔任成員,並將聘請前臉書安全長Alex Stamos擔任外部資安顧問,希望挽回消費者信心。
但是,難以讓用戶繼續信任Zoom的狀況,還是持續上演。例如,又有以色列安全情報業者Sixgill的消息,指出有駭客在暗網公布352個Zoom帳號的名單。
後續,國際間則是出現更多禁用Zoom的消息,包括政府機關與企業。例如,在4月6日,根據澳洲媒體The Australian的報導,當地禁止國防人員使用Zoom來進行視訊會議。在4月8日,美國媒體BuzzFeed News報導,指出Google其實在上個星期,就已經以電子郵件通知員工禁用Zoom,說明該工具未符合內部使用程式的安全標準,因此將限制Zoom在企業電腦上的執行;同樣是在8日,德國媒體Handelsblatt報導了該國外交部通知機關人員,禁止在公家裝置使用Zoom,但考量合作夥伴可能使用,因此通融以個人裝置用Zoom進行公事交流。
而在4月9日,根據美國Cnet等媒體報導,美國參議院也要求所有的議員不要使用Zoom;而新加坡也傳出教育部要求教師暫停使用Zoom,根據當地媒體Channel News Asia報導,當地教育部在收到Zoom Bombing事件的報告後,為了預防起見,也要教師暫停使用Zoom,而在相隔4日後,才又允許逐步恢復使用。
無論如何,儘管Zoom強調要在90天強化資安,但目前事件還在持續,不只是漏洞接連爆出,而先前被揭露其產品並非真的貫徹端對端加密,以及加密作法不夠周延,還有會議金鑰誤經中國資料中心等安全問題,再加上許多事件突顯該公司有誤導、欺騙性的行為,上述這些被公開的資安問題,都暴露其產品的高風險性。
此外,我們也要提醒大家不只是注意單一廠商,更難防的是,他們生產的軟體元件,也可能輸出給其他廠商使用,而以不同廠牌的解決方案供應給用戶。例如,去年就有研究人員提出相關發現,市面上兩款取得Zoom技術授權的視訊會議App:RingCentral和Zhumu,存在與Zoom相同的弱點。
何謂Zoom Bombing?
若要防止與會者擅自分享螢幕畫面干擾開會,主持人在會議前或會議進行時,可以在Zoom的進階設定選項中,限制僅主持人可以共享螢幕畫面。 |
在Zoom本身的多項隱私與資安漏洞之外,近期最多討論的安全問題就是Zoom Bombing,簡單來說,就是有其他使用者擅自闖入視訊會議的行為,並且故意在視訊畫面上分享色情或冒犯性的內容,干擾了會議的正常進行。
為何這些人能夠做出這樣的惡作劇行為?這事因為,他們可以找到公開在網路上的Zoom會議連結網址或會議ID,或是透過自動化工具找出有回應的會議ID。
對於如何不被外人闖入的問題,Zoom於官方部落格中,建議了3大使用原則。
(一)要對螢幕的控制權有所掌握:在會議前或進行期間,設定自己是唯一可分享螢幕的成員
(二)應做好與會者的管理:包括會議鎖定與刪除不需要的參與者等,而現在所有單一會議室主持人在召開會議時,需要強制設定密碼,用戶也應每次會議都設立不同的會議密碼
(三)開啟等候室的功能:讓與會者不會立即進入會議,需要會議主持人一個個手動批准與會者進入會議室。
市面上有那些雲端視訊會議平臺?
早年的網頁視訊會議,多數企業最為熟知的產品就是Webex、GotoMeeting,直到後來行動裝置、雲端興起,以及視訊壓縮技術的進步下,在6、7年前,我們看到雲端視訊服務產品的興起,包括Zoom、Blue Jeans、Fuze、Starleaf與Vidyo等。在這些產品當中,我們看到像是Zoom與Vidyo等,都進入臺灣市場,其他新興服務在國內的知名度則不高。
以當時的Zoom而言,最大特色就是介面相當簡單直覺,雖然提供的操作功能項目還不如老牌產品,但當時以免費版與低價推出市場,加上其他新興雲端視訊未進入臺灣市場,又有正體中文介面語系的支援,因此獲得不少用戶青睞。而在這麼多年發展之後,Zoom在全球市場同樣大有斬獲,已是這些視訊會議新創中最知名的業者。
另一方面,除了硬體視訊會議與雲端視訊會議的介接變得更普遍,早年強調的整合通訊也朝向雲端協作平臺的潮流來發展,像是微軟從Lync到Skype for Business,到現在的Microsoft Teams,而從雲端出發的Google,本身也提供Hangouts Meet(現改名為Google Meet)。
另外,還有一些雲端視訊會議產品的動向,也很值得一提,例如,早年我們介紹過的GotoMeeting與Join.me,現在成為LogMeIn旗下產品,而硬體視訊業者Lifesize後來也順應了雲端潮流,推出了Lifesize Cloud,該公司之後則被羅技併購,不過,這些產品在國內受關注的程度是比較小;另外,還有影像編輯軟體大廠Adobe很早推出的Adobe Connect,近年也活躍於臺灣教育市場。
此外,以PowerDVD聞名的訊連科技,在2017年開始切入此一領域,是起步較晚的業者,並是少見的臺灣產品;至於國內的共同供應契約當中,我們還看到一些市面上較少注意到的產品,例如,狀態網際網路的Status PowerMeeting,泰溥科技的TOPMeeting,以及太御科技(JoinNet)代理的美國HomeMeeting等多款產品。而在開源軟體產品中,近年則有Jitsi Meet受到不少使用者推薦。
附帶一提的是,原是屬於遠端控制類型的工具軟體,其實也有加入視訊會議的功能,例如TeamViewer,因為技術相近,但使用者必須對這類軟體的功能有所認識,它的功能還包括遠端控制你或對方電腦,不只是單純的視訊會議軟體。
熱門新聞
2024-12-27
2024-12-24
2024-11-29
2024-12-22
2024-12-20