【翻墙问答】点对点加密欠奉 Zoom视像会议如无掩鸡笼


2020-04-03
Share
firewall-zoom620.jpg 2019年4月18日,由美籍华人袁征创办的视频会议软件公司Zoom在纳斯达克正式挂牌上市。(美联社)

问:新冠肺炎全球大流行,越来越多人透过Zoom举行视像会议连结。上集翻墙问答我们已经指出Zoom的Mac版有很多问题,而随著越来越多专家去审视Zoom的保安问题,Zoom再被发掘到一个严重保安漏洞,那就是Zoom并非点对点加密。据说这个漏洞可能影响到所有Zoom的用户。能否为大家解释一下?

李建军:Zoom是一款商用视像会议软件,对企业而言,防止会议内容外泄是十分之重要,而要避免会议内容外泄最基本的做法,就是点对点加密。因此,Zoom做不到点对点加密,是十分之严重的设计失误。无点对点加密,有如你和你同事在房间开会,但开了一道窗,有心人就可以透过打开了的窗去偷录你们的会议内容。Zoom的情况实在是太可怕。任何涉及敏感内容的视像会议,譬如维权人士和国际人权机构之间的会议,根本不应采用Zoom,要立即使用其他开放源码,或确认已经支援点对点加密的视像会议软件,譬如上集介绍过的免费视像软件Jitsi。

问:不少企业都有自家VPN;甚至不少中国的维权人士都习惯使用VPN上网。那么假如在VPN环境下使用Zoom又是否安全呢?

李建军:使用企业自家的VPN都不代表百分百安全,譬如有部分企业可能因预算问题,未有及时更新VPN技术,特别对使用比较旧版VPN技术的企业而言,安全存在隐忧。所以视像会议软件必须用点对点加密,如果以为在企业VPN下开会就可以不用点对点,这个真是太疏忽。

至于公共VPN就更危险,虽然VPN被视为可以为用户私隐带来保障,但风险依然存在,譬如某些VPN营运商来历不明,或者你的VPN被其他黑客滥用。因此,VPN虽然可以为你回避当局的监视加强保障,但并不能够取代视像会议软件本身的点对点加密功能。VPN环境下使用Zoom仍然可发生内容外泄的情况。因此,Zoom一日未有实现真正的点对点加密功能,这款视像会议软件,只能用来讨论一些无伤大雅的内容,但如果要讨论敏感内容,仍然要使用其他已经确认了支援点对点加密功能的视像会议软件,而并非使用Zoom。

问:Zoom除了并非点对点加密外,不论Windows版或Mac版,都使用了不少恶意软件使用的技术,例如未经用户批准就擅自加装软件,或者取得Windows的管理人权限等。Zoom的问题多多,背后原因何在?

李建军:Zoom在设计习惯上其实与中国的软件公司手法一致,中国很多软件都有一些恶意软件才用的设计,这些设计又或后门有些是因应中国当局的要求而做,有些是相关软件公司本身想取得用户私隐来提高利润,甚至更差的情况,是个别程式编写员故意留下一些漏洞,以便他本人或他其他夥伴使用。中国软件上经常出现的问题,这次几乎在Zoom身上一次过浮现出来。以往Zoom未当红,保安专家没有兴趣研究这款软件。现时因应武汉肺炎疫潮,全世界保安高手都研究这款爆红的软件,不论黑客白客都齐齐研究时,这款软件的设计问题就一一曝光。其实这些设计问题背后,仍然是中国公司以至程式设计人员各种陋习,因此,我个人并不建议大家继续使用Zoom,因为Zoom有著与微信、WeChat一类软件同样的问题。Zoom虽然表面看来是一家美国公司、由美国人设计,但实际上它的危险程度真的不比使用微信一类软件小。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。

完整网站