视讯软件Zoom被爆向北京传输加密资料

【美博翻墙2020.4.5】由于中共病毒肺炎疫情肆虐全球,近距离人与人的接触被迫减少,却带动了远距离云端视讯会议软件Zoom成为热门工具、使用量大增,但该软件却被爆出涉嫌向中国传输加密讯​息,引发资安漏洞的疑虑被广泛关注。

Zoom的背景资料

Zoom是由美国的华裔工程师袁征所创立,尽管Zoom总部在美国加州,不过其研发中心仍设在中国。

据公开资料,袁征来自中国山东省,1987年毕业自山东科技大学,直到工作后才到美国。2006年在美国史丹佛大学获得MBA学位;2011年创立Zoom,总部设立在美国硅谷。

但袁征过去在接受富比士(Forbes)采访时曾透露,Zoom大部分的研发团队来自中国。对于这项作法,该公司在募股书上宣称,是为了中国较低廉的人力成本。

据有苏州地方政府背景的中国人力网站“圆才网”,Zoom在苏州、杭州和合肥都设有研发中心,其中苏州有约200名研发人员。

Zoom存在重大资安漏洞 暗地向北京服务器传送资料

媒体披露Zoom存在重大资安漏洞,黑客可以透过Zoom窃听线上会议。而最令人难以信任的是,Zoom的技术团队就在最没有资通安全的中国。

据加拿大多伦多大学日前公布的一份研究报告显示,视讯会议软件Zoom涉嫌使用了一种非标准的加密方式,向中国传输加密讯​息;该报告透露,在北美的多次测试通话中,观察到加密和解密会议的密码被传输到中国北京的服务器上,研究员马尔扎克(Bill Marczak)警告说,害怕受到间谍监控影响的用户在使用这款软件讨论敏感信息前应该三思、加倍小心。

此外,美国联邦调查局(FBI)波士顿办公室,在3月30号发布了关于Zoom的警告,告诉Zoom用户不应将会议设成公开,或广泛共享会议超链接,因为该机构曾收到两份报告,其指出曾有身份不明的个人,入侵学校使用Zoom进行的课程。

调查新闻网站The Intercept也在3月31号报导指出,Zoom并未对视讯会议进行端对端加密,而Zoom也有机会可以流览会议内容。对于The Intercept的报导,Zoom回应称,该公司对所有Zoon客户的会议内容加密,且公司也不会记录会议内容。

知名航太公司SpaceX禁止其员工使用Zoom

知名航太公司SpaceX流出的内部信,该公司已在3月底以事关“重大隐私和安全问题”为由,禁止其员工使用Zoom作为通讯工具。

《路透》报导,据《路透》取得的SpaceX在3月28日发出的内部电子邮件,该公司已即刻禁止员工间使用Zoom通讯,“我们知道许多员工都在使用此工具(Zoom)来进行会议和面谈...但请改用电子邮件、短信或电话作为替代沟通方式”。据报导,SpaceX约拥有6000多名员工。

而另有两名熟悉相关事务的人,确认了邮件内容。SpaceX的代表和Zoom公司,则皆尚未对此报导发表回应。

美国国家航空暨太空总署(NASA)禁止员工使用Zoom

SpaceX最大客户之一、美国国家航空暨太空总署(NASA)发言人Stephanie Schierholz则已表示,该机构也禁止员工使用Zoom。

Zoom创办人袁征公开道歉

针对外界质疑,袁征公开道歉,称Zoom暂停任何新功能的开发,以专注于安全和隐私问题。

4月6日补充:

美国纽约各级学校禁用 ZOOM

据CNN的最新报导,美国纽约市教育局发言人Danielle Filson 已向各级学校宣布,尽快实时停用Zoom进行远距会议与教学的决策。并建议改为采用具有适当安全防护措施的微软 Microsoft Teams。

FBI警告:视讯会议恐遭黑客入侵

美国联邦调查局FBI也对外发出警告提醒,因疫情带动视讯会议工具软件的趋势,已成为黑客锁定发动攻击的目标,并列举黑客可能采取的恶意手段,如:入侵视讯会议窃听盗取机密信息、或是大量散布色情仇恨图片、使用威胁性语言破坏会议的进行,以及破坏远端桌面共享应用程序入侵会议系统、或植入恶意程序等。

FBI并呼吁提醒:企业在使用视讯会议工具软件时,尽可能选择值得信赖与具有资安防护机制的平台业者。使用线上视讯会议时,最好设置密码,并不要把会议设置为公开;除非必要,尽可能不要使用与远端桌面共享功能。

5月1日补充:

Zoom 灌水“每日活跃用户”数据

近日外媒《The Verge》报导,Zoom 近期悄悄窜改博客文章内容,原先早期描述写到每日拥有超过 3 亿名“活跃用户”(Daily Users),后来被改成 3 亿名“会议参与者”(Meeting Participants)。等于间接承认,原先的数据是灌水而来,实际使用人数并没有这么多。

“活跃用户”、“会议参与者”两者是截然不同的,前者同一名使用者无论参加多少场会议,都只会被计算一次,后者则是计算每一场参与者的人数。简单来说,一名用户若一天参加 9 场会议,在“活跃用户”只能记上 1 人,但在后者就可以冲到 9 人。

Zoom 官方向《The Verge》坦承错误,表示误将参与者称为“用户”(User)、“人”(People),表明是自身的疏失。

原文链接:https://allinfa.com/video-conferencing-zoom-security-loopholes.html
原文标题:视讯软件Zoom被爆向北京传输加密资料 - 美博园
※ 除声明转载,美博园文章均为"原创",软件版权归原作者,转载请以上面超链接注明来源!

本文TinyURL短网址: http://tinyurl.com/tu8jvzn

这里是你留言评论的地方

6 + 2 =

【您可以使用 Ctrl+Enter 快速发送】

Copyright © 2007 - 2020 , Design by 美博园. 版权所有. 若有版权问题请留言通知本站管理员. 【回到顶部】