美博園 > 

資訊安全

  • 2020-4-5 11:26
  • 短網址
  • 字型大小
  • 字型大小無極縮小 回復原始字型大小 字型大小無極放大
    • 分享到 Twitter 分享到 MeWe 分享到 Whatsapp 分享到 Telegram 分享到 Line mail傳送

視訊軟體Zoom被爆向北京傳輸加密資料

【美博翻牆2020.4.5】由於中共病毒肺炎疫情肆虐全球,近距離人與人的接觸被迫減少,卻帶動了遠距離雲端視訊會議軟體Zoom成為熱門工具、使用量大增,但該軟體卻被爆出涉嫌向中國傳輸加密訊​息,引發資安漏洞的疑慮被廣泛關注。

Zoom的背景資料

Zoom是由美國的華裔工程師袁征所創立,儘管Zoom總部在美國加州,不過其研發中心仍設在中國。

據公開資料,袁征來自中國山東省,1987年畢業自山東科技大學,直到工作後才到美國。2006年在美國史丹佛大學獲得MBA學位;2011年創立Zoom,總部設立在美國矽谷。

但袁征過去在接受富比士(Forbes)採訪時曾透露,Zoom大部分的研發團隊來自中國。對於這項作法,該公司在募股書上宣稱,是為了中國較低廉的人力成本。

據有蘇州地方政府背景的中國人力網站「圓才網」,Zoom在蘇州、杭州和合肥都設有研發中心,其中蘇州有約200名研發人員。

Zoom存在重大資安漏洞 暗地向北京伺服器傳送資料

媒體披露Zoom存在重大資安漏洞,駭客可以通過Zoom竊聽線上會議。而最令人難以信任的是,Zoom的技術團隊就在最沒有資通安全的中國。

據加拿大多倫多大學日前公布的一份研究報告顯示,視訊會議軟體Zoom涉嫌使用了一種非標準的加密方式,向中國傳輸加密訊​息;該報告透露,在北美的多次測試通話中,觀察到加密和解密會議的密碼被傳輸到中國北京的伺服器上,研究員馬爾扎克(Bill Marczak)警告說,害怕受到間諜監控影響的用戶在使用這款軟體討論敏感信息前應該三思、加倍小心。

此外,美國聯邦調查局(FBI)波士頓辦公室,在3月30號發布了關於Zoom的警告,告訴Zoom用戶不應將會議設成公開,或廣泛共享會議超鏈接,因為該機構曾收到兩份報告,其指出曾有身份不明的個人,入侵學校使用Zoom進行的課程。

調查新聞網站The Intercept也在3月31號報導指出,Zoom並未對視訊會議進行端對端加密,而Zoom也有機會可以流覽會議內容。對於The Intercept的報導,Zoom回應稱,該公司對所有Zoon客戶的會議內容加密,且公司也不會記錄會議內容。

知名航太公司SpaceX禁止其員工使用Zoom

知名航太公司SpaceX流出的內部信,該公司已在3月底以事關「重大隱私和安全問題」為由,禁止其員工使用Zoom作為通訊工具。

《路透》報導,據《路透》取得的SpaceX在3月28日發出的內部電子郵件,該公司已即刻禁止員工間使用Zoom通訊,「我們知道許多員工都在使用此工具(Zoom)來進行會議和面談...但請改用電子郵件、簡訊或電話作為替代溝通方式」。據報導,SpaceX約擁有6000多名員工。

而另有兩名熟悉相關事務的人,確認了郵件內容。SpaceX的代表和Zoom公司,則皆尚未對此報導發表回應。

美國國家航空暨太空總署(NASA)禁止員工使用Zoom

SpaceX最大客戶之一、美國國家航空暨太空總署(NASA)發言人Stephanie Schierholz則已表示,該機構也禁止員工使用Zoom。

Zoom創辦人袁征公開道歉

針對外界質疑,袁征公開道歉,稱Zoom暫停任何新功能的開發,以專註於安全和隱私問題。

4月6日補充:

美國紐約各級學校禁用 ZOOM

據CNN的最新報導,美國紐約市教育局發言人Danielle Filson 已向各級學校宣布,儘快實時停用Zoom進行遠距會議與教學的決策。並建議改為採用具有適當安全防護措施的微軟 Microsoft Teams。

FBI警告:視訊會議恐遭駭客入侵

美國聯邦調查局FBI也對外發出警告提醒,因疫情帶動視訊會議工具軟體的趨勢,已成為駭客鎖定發動攻擊的目標,並列舉駭客可能採取的惡意手段,如:入侵視訊會議竊聽盜取機密信息、或是大量散布色情仇恨圖片、使用威脅性語言破壞會議的進行,以及破壞遠端桌面共享應用程式入侵會議系統、或植入惡意程序等。

FBI並呼籲提醒:企業在使用視訊會議工具軟體時,儘可能選擇值得信賴與具有資安防護機制的平台業者。使用線上視訊會議時,最好設置密碼,並不要把會議設置為公開;除非必要,儘可能不要使用與遠端桌面共享功能。

5月1日補充:

Zoom 灌水「每日活躍用戶」數據

近日外媒《The Verge》報導,Zoom 近期悄悄竄改部落格文章內容,原先早期描述寫到每日擁有超過 3 億名「活躍用戶」(Daily Users),後來被改成 3 億名「會議參與者」(Meeting Participants)。等於間接承認,原先的數據是灌水而來,實際使用人數並沒有這麼多。

「活躍用戶」、「會議參與者」兩者是截然不同的,前者同一名使用者無論參加多少場會議,都只會被計算一次,後者則是計算每一場參與者的人數。簡單來說,一名用戶若一天參加 9 場會議,在「活躍用戶」只能記上 1 人,但在後者就可以衝到 9 人。

Zoom 官方向《The Verge》坦承錯誤,表示誤將參與者稱為「用戶」(User)、「人」(People),表明是自身的疏失。

原文鏈接:https://allinfa.com/zh-tw/video-conferencing-zoom-security-loopholes.html
原文標題:視訊軟體Zoom被爆向北京傳輸加密資料 - 美博園
美博園文章均為「原創 - 首發」,請尊重辛勞撰寫,轉載請以上面完整鏈接註明來源!
軟體著作權歸原作者!個別轉載文,本站會註明為轉載。
« 前文:
:後文 »

這裡是你留言評論的地方


請留言


7 + 2 =
【您可以使用 Ctrl+Enter 快速發送】
Copyright © 2007 - 2026 , Design by 美博園. 著作權所有. 若有著作權問題請留言通知本站管理員. 【回到頂部】