Zoom爆資安疑慮 加密訊息恐為中共所用
中共肺炎蔓延全球,許多國家民眾都須在家隔離防疫,使用遠端會議、遠距上課的需求大增,但使用率高的遠距軟體「Zoom」爆發資安疑慮,加密不周、連線數據恐送往中共。電動車大廠特斯拉(Tesla)、紐約市各級學校、美國國家航太總署(NASA)、英國國防部等機構已先後宣布禁用。
綜合外媒報導,因防疫需求,遠距軟體Zoom每日上線用戶數從去年年底的1千萬人增至2億人,近日有部分用戶舉報,他們在舉行視訊會議時被不明人士駭入,這類駭客入侵線上會議的現象被稱為「Zoombombing」。
研究網路資訊管控的加拿大多倫多大學「公民實驗室」(Citizen Lab)4月3日表示,Zoom使用的加密技術並非端對端加密,代表該公司持有用戶會議的加密金鑰,可任意查看會議內容。該機構研究人員指出,Zoom在特定情況下,會將加密鑰匙存在位於中國的伺服器,導致資料會傳送到該地。
中共規定本地資料必須存放在境內,Zoom2月起也將位於中國的伺服器納入國際「白名單」,以因應暴增的連線流量。研究人員表示:「一家主要為北美客戶服務的公司有時可能會透過位於中國的伺服器分享加密金鑰,這會引起擔憂,因為Zoom有法律義務將這些密鑰交給中共。」
紐約市教育局發言人費爾森(Danielle Filson)5日向美國有線電視新聞網(CNN)發表聲明,指示各級學校「盡快停止使用Zoom」;美國聯邦調查局(FBI)波士頓辦公室也呼籲Zoom用戶不要在公共或是共享網域內舉行視訊會議。
Zoom創辦人袁征公開為資安問題致歉,他也在4日向《華爾街日報》坦承自己「搞砸了」,Zoom必須再次贏得大眾信任。
台立委:須注意遠距資安風險
立法委員6日質詢教育部,立委林宜瑾說,Zoom在端對端加密上有問題,只有傳輸到Zoom公司的資料才有加密,導致用戶容易被惡意第三方擷取蒐集資料;立委劉世芳也說,教育部推薦下載Zoom,但科技界、學界教授有各種機密資料要交換,如今傳出問題,希望教育部下令禁用,不要助紂為虐。
教育部長潘文忠表示,近2天Zoom的問題被大幅報導,官方並非鼓勵Zoom,還有其他平台軟體,如Google Meet、Microsoft Teams等都能使用,但有教育人員已習慣Zoom,將再提醒如何注意資安。◇