【翻牆問答】點對點加密欠奉 Zoom視像會議如無掩雞籠


2020.04.03
firewall-zoom620.jpg 2019年4月18日,由美籍華人袁征創辦的視頻會議軟件公司Zoom在納斯達克正式掛牌上市。(美聯社)

問:新冠肺炎全球大流行,越來越多人透過Zoom舉行視像會議連結。上集翻牆問答我們已經指出Zoom的Mac版有很多問題,而隨著越來越多專家去審視Zoom的保安問題,Zoom再被發掘到一個嚴重保安漏洞,那就是Zoom並非點對點加密。據說這個漏洞可能影響到所有Zoom的用戶。能否為大家解釋一下?

李建軍:Zoom是一款商用視像會議軟件,對企業而言,防止會議內容外洩是十分之重要,而要避免會議內容外洩最基本的做法,就是點對點加密。因此,Zoom做不到點對點加密,是十分之嚴重的設計失誤。無點對點加密,有如你和你同事在房間開會,但開了一道窗,有心人就可以透過打開了的窗去偷錄你們的會議內容。Zoom的情況實在是太可怕。任何涉及敏感內容的視像會議,譬如維權人士和國際人權機構之間的會議,根本不應採用Zoom,要立即使用其他開放源碼,或確認已經支援點對點加密的視像會議軟件,譬如上集介紹過的免費視像軟件Jitsi。

問:不少企業都有自家VPN;甚至不少中國的維權人士都習慣使用VPN上網。那麼假如在VPN環境下使用Zoom又是否安全呢?

李建軍:使用企業自家的VPN都不代表百分百安全,譬如有部分企業可能因預算問題,未有及時更新VPN技術,特別對使用比較舊版VPN技術的企業而言,安全存在隱憂。所以視像會議軟件必須用點對點加密,如果以為在企業VPN下開會就可以不用點對點,這個真是太疏忽。

至於公共VPN就更危險,雖然VPN被視為可以為用戶私隱帶來保障,但風險依然存在,譬如某些VPN營運商來歷不明,或者你的VPN被其他黑客濫用。因此,VPN雖然可以為你迴避當局的監視加強保障,但並不能夠取代視像會議軟件本身的點對點加密功能。VPN環境下使用Zoom仍然可發生內容外洩的情況。因此,Zoom一日未有實現真正的點對點加密功能,這款視像會議軟件,只能用來討論一些無傷大雅的內容,但如果要討論敏感內容,仍然要使用其他已經確認了支援點對點加密功能的視像會議軟件,而並非使用Zoom。

問:Zoom除了並非點對點加密外,不論Windows版或Mac版,都使用了不少惡意軟件使用的技術,例如未經用戶批准就擅自加裝軟件,或者取得Windows的管理人權限等。Zoom的問題多多,背後原因何在?

李建軍:Zoom在設計習慣上其實與中國的軟件公司手法一致,中國很多軟件都有一些惡意軟件才用的設計,這些設計又或後門有些是因應中國當局的要求而做,有些是相關軟件公司本身想取得用戶私隱來提高利潤,甚至更差的情況,是個別程式編寫員故意留下一些漏洞,以便他本人或他其他夥伴使用。中國軟件上經常出現的問題,這次幾乎在Zoom身上一次過浮現出來。以往Zoom未當紅,保安專家沒有興趣研究這款軟件。現時因應武漢肺炎疫潮,全世界保安高手都研究這款爆紅的軟件,不論黑客白客都齊齊研究時,這款軟件的設計問題就一一曝光。其實這些設計問題背後,仍然是中國公司以至程式設計人員各種陋習,因此,我個人並不建議大家繼續使用Zoom,因為Zoom有著與微信、WeChat一類軟件同樣的問題。Zoom雖然表面看來是一家美國公司、由美國人設計,但實際上它的危險程度真的不比使用微信一類軟件小。

新增評論

請將評論填寫在如下表格中。 評論必須符合自由亞洲電台的 《使用條款》並經管理員通過後方能顯示。因此,評論將不會在您提交後即時出現。自由亞洲電台對網友評論的內容不負任何責任。敬請各位尊重他人觀點並嚴守事實。