智能手机上的Zoom公司标志(2020年3月30日)。
加拿大多伦多大学星期五公布的一份研究报告显示,视频会议软件Zoom使用了一种非标准的加密方式,并向中国传输加密信息。
在新型冠状病毒疫情期间,可供企业开展视频电话会议的Zoom软件大受欢迎。隶属于多伦多大学的网络研究机构“公民实验室”(Citizen Lab)警告说,用户激增为“网络间谍创造了淘金热”。
研究员马尔扎克(Bill Marczak)说:“Zoom犯了一个典型的错误,那就是设计和采用了他们自己的加密方案,而不是使用现有的语音和视频内容加密标准。”
他警告说:“希望不受间谍活动影响的用户在使用这款应用讨论敏感信息前应该三思。”
除了加密标准,研究人员还发现Zoom公司向中国发送加密信息,即使使用Zoom的与会者都在国外。
报告称:“在北美的多次测试通话中,我们观察到加密和解密会议的密钥被传输到中国北京的服务器上。”
尽管Zoom公司的总部设在美国加州圣何塞,但在中国大陆有三个机构,共约700名员工致力于该应用的开发。
报告写道:“在中国进行开发可能会让Zoom不必支付硅谷的薪水,从而减少他们的开支,提高他们的利润率。然而,这种安排也可能会让Zoom受到来自中国当局的压力。”
随着全球疫情加剧,更多公司对网上会议的依赖增加,每天有2亿场会议通过Zoom举行。目前,该公司在中国的存在已经引起了美国网络安全专家的注意。
“Zoom的大部分工程团队都在中国,”智库战略与国际研究中心兼职研究员赫尔伯格(Jacob Helberg)本周在推特上写道。“在一个容易被中共收集数据的平台上进行敏感对话,应该会让那些关心保护公司或政府机密的人有所顾虑。”
目前美国至少有两个州的司法部长对Zoom公司的隐私保护提出了质疑。
康涅狄格州司法部长汤伟麟(William Tong)称正在与其他州的司法部长合作,向该公司寻求更多有关其隐私和安全措施的信息。
纽约州司法部长詹乐霞(Letitia James)在一封信中要求Zoom公司回答系列问题,以确保该公司正在采取适当措施来确保用户的隐私安全。
Zoom公司的一名发言人表示,公司将与政府官员就这些问题展开磋商。
这位发言人说:“我们感谢各方官员就这些问题提出的建议,并期待与他们接触。”
Zoom创始人公开道歉承诺修补安全漏洞
在全球用户提出批评后,通讯软体Zoom宣布暂停任何新功能的开发,以专注于安全和隐私问题。
这个视频会议应用程序的首席执行官袁征(Eric Yuan) 在博客中对安全问题“无法达到标准”致歉,并承诺将解决这些问题。
他说,在冠状病毒大流行之前,他没有预测到Zoom的使用者会以前所未有的方式暴增。
一位安全专家说,他希望这家公司文化会因此改变。
由于在许多国家都因为病毒关闭边界,Zoom现已被数百万人用于工作和休闲上。
袁征坦承Zoom的使用者是一夜之间暴增。他说:“截至2019年12月底,包含免费和付费的使用者,Zoom虚拟会议人数最多的一日使用者曾经达1000万人。但今年3月,我们曾有一天超过2亿使用者的纪录。
他承认,尽管公司“整日不间断工作”以支持涌入的新用户,但该服务“仍未达到对使用社群(以及我们自己)对隐私和安全性之期望”。
“为此,我深感抱歉。”袁征写道。他解释,“我们当初设计产品时,并未预设在短短几周内,全世界每个人都会突然在家工作,学习和社交。”
“我们现在拥有广泛的用户群体,以各种意想不到的方式使用我们的产品,从而给我们带来了设计这个产品时没有想到的各种挑战,” 袁征补充。
Zoom因一连串隐私问题遭致批评,包括将用户数据发送到Facebook,错误地声称该应用程序具有“端到端加密”以及允许虚拟会议主持人追踪到参与会者的资料(譬如IP等)。
创始人袁征坦承Zoom的使用者是一夜之间暴增。
前国家安全局(NSA)骇客沃德(Patrick Wardle)发现了Zoom的一系列问题,其中包括一个资讯安全漏洞,该漏洞让使用苹果电脑(Mac)的用户,在使用该软体时,电脑网络摄像头和麦克风更容易被骇客入侵。网路安全顾问格雷厄姆·克鲁利(Graham Cluley)称,Zoom现在面临“危机”。
“由于Zoom对处理安全和隐私问题不够完善的态度已经传开了,它有可能失去已经累积的众多好感。” 他说。
他又表示Zoom正在解决一些“严重的漏洞”,并认识到有必要将重点放在资讯安全上,而不是继续“制造麻烦”。
他补充说:“我们希望该公司文化会因为这次事件,一改之前的‘快速和轻松’的态度。”
“Zoom轰炸”
Zoom开始拥有海量使用者,也创造了一种新的“ zoombombing” (zoom 轰炸)现象。
这种现象是指不被邀请的不速之客突然加入视频会议,通常不是大声叫嚣,就是分享色情内容或发表种族主义言论。
恶作剧者可以通过社交媒体平台或网站上公开共享的视讯会议链接,找到视讯会议的详细信息。或者在某些情况下,只需猜测九位数的ID码即可找到会议的细节。
但是,如果这些会议使用保护过的会议密码,或不允许主持人以外的任何人进行分享视频,就可以防止攻击。
袁征于2011年在美国创立了Zoom,他说现在该公司为解决安全疑虑而采取的步骤如下:
对加密方法进行说明
删除从iOS应用到脸书的共享代码
发布与Mac相关问题的修复程序
删除与领英网站(LinkedIn)之连接,以防止不必要的数据泄露
发布如何避免成为“zoom轰炸”受害者的说明
在接下来的90天内,该公司又计划:
暂时冻结新功能开发,以专注于安全和隐私
与独立专家进行审查,以了解新客户所需的新安全功能
编写有关数据请求的透明度报告
扩大其“漏洞赏金”计划
每周举行一次网络研讨会,以提供隐私和资讯安全更新
趋势科技( Trend Micro)资讯安全研究部门副总裁弗格森(Rik Ferguson)对该公司所做的更改表示欢迎。他说:“所有的问题都被提到了:从配置和宽松的程式预设装置,软件漏洞,公司策略和产品路线图的决定,这些在Zoom的博客文章中都痛苦的披露。”
“大家应该对一个公司感到同情:Zoom是在疫情大流行期间率先提供免费服务的组织之一,然后发现自己不仅是决策不力的受害者,而且是自身产品成功的受害者。”
高风险
英国一直有关于政府是否应使用Zoom召开内阁会议的辩论。
政府证明其在“前所未有的时期”使用Zoom是合理的,因为当时一些政府官员是在家自我隔离,而在家中无法获得更安全的技术支援。
但是,当英国首相约翰逊(Boris Johnson)发了一张推文,其中照片披露他最近一次会议的会应认证编号时,关于Zoom安全性的辩论就愈演愈烈。
另外,根据报道,出于安全考虑,马斯克(Elon Musk)旗下的SpaceX公司已经禁止用Zoom召开会议。 美国太空总署(NASA)是Space X的最大客户之一,也同样禁止员工在工作上使用Zoom。
克鲁利解释,任何使用Zoom进行敏感对话的人都必须小心。
“解决这些问题将需要时间。而且,对于那些特别高风险的Zoom用户,他们的讨论常常牵涉高敏感议题。这些用户(譬如英国内阁)也可能成为其他国家发起网路攻击的目标。因此,现在开始寻找更安全的通讯方式是比较明智的做法。”
