授權轉載 Inside
Zoom 資安問題再起!會議安全嗎?會不會被竊聽?發言人回應
因遠距工作需求而逆勢成長的雲端視訊軟體 Zoom 最近不斷傳出各種資安疑慮。儘管 Zoom 在官網和安全白皮書中表示,會議主持人可以啟用「端到端加密」(end-to-end encryption),以保障視訊會議內容不外洩,但媒體深入訪問後,卻得到不同答案。
根據 The Intercept 和 The Verge 報導,當媒體詢問 Zoom 發言人是否針對視訊會議進行端對端加密時,發言人回答:「目前 Zoom 平台還沒辦法把會議端對端加密。」
雖然 Zoom 有採用傳輸層安全性協定(Transport Layer Security;TLS),與當前多數瀏覽器用來保護 HTTPS 網站的標準一致,但這只代表:使用者與 Zoom 伺服器之間交換數據時受到加密保護,就像我們在用 Gmail 或 Facebook 時一樣。
而資安界所謂的 「端對端加密」,指的是完全保護使用者的通訊內容,第三方無法取得解密的金鑰,只有參與通訊的使用者可以取用內容,可防止被竊聽、被竄改,類似私密即時通訊軟體 Signal 或 WhatsApp 所採用的資安等級。
不過,Zoom 聲稱並沒有刻意誤導使用者,並表示之所以會提到「端到端」(end-to-end)這個詞,指的是「從 Zoom 端點到 Zoom 端點」之間會受到加密,且「內容在 Zoom 雲端平台傳輸時,不會被解密」。
Zoom 也表示,雖然有蒐集數據,但只蒐集那些可用來改善服務品質的相關數據,例如:IP 位址、操作系統和設備的詳細資訊等,Zoom 員工無法查看視訊會議的內容,也不會賣掉使用者的數據。不過,Zoom 會議裡的文字聊天內容的確有支援端到端加密,Zoom 沒有解密這些通訊內容的金鑰。
至於視訊會議內容,由於並非端到端加密,因此如果未來執法單位要求,Zoom 還是有可能把會議內容提供給當局。對此,Zoom 目前尚未回應。
(本文出自 INSIDE 硬塞的網路趨勢觀察)
