江雅綺/遠端科技的資安風險:Zoom到底出了什麼問題?
●江雅綺,臺北科技大學智財所副教授、行政院「數位國家創新經濟推動小組」民間諮詢委員會委員。
新冠肺炎(武漢肺炎、COVID-19)疫情席捲全球,能幫助人們既保持社交距離、又維持日常活動的工具或軟體都一夕暴紅。以滿足人們遠端會議和教學的需求來說,主要功能齊全、使用界面直覺便利的Zoom,就是一個例子。但隨着Zoom的使用者數在三個月內由1千萬爆增到2億、Zoom的市值由160億跳至420億美元,人們也開始更加認真檢視它的隱私與安全設定。
沒想到不看則已,一看之下各項被懷疑的漏洞逐一現形,以至這場原本被稱爲ZoomBooming 的數位經濟成長案例,已經幾乎變成尷尬的負面教材。
一個明顯的漏洞是Zoom在官網上強調自己具有「點對點加密」的功能,使用者上線開會的時候,也會發現熒幕左上角有一個小小的鎖頭標誌,以爲那就是「通訊內容點對點加密」的象徵。
一般定義的點對點加密,意指連軟體公司自己都無法解密使用者的內容。但經科技實驗室調查,Zoom僅具有文字點對點加密的功能,視訊影像由於傳輸的資料龐大,要一方面實現嚴格的點對點加密一方面讓視訊品質流暢,就需要花更多的功夫。
而Zoom在此選擇了相對「偷懶」的「傳輸加密」,也就是僅在資料傳輸過程中第三人無法解密內容,但非點對點加密,因此ZOOM公司有能力取得使用者的視訊內容。
或許有人認爲會議內容無關緊要,讓Zoom公司看到也沒關係。但套用美國聯邦交易委員會首席科技官的話:假設A公司和Zoom都強調自己使用點對點加密,但A公司確實投入資源建置了點對點加密功能,但Zoom卻沒有置放足夠的資源建置點對點加密,消費者選擇Zoom就可能是沒有得到正確資訊的決定、也讓其他公司處於不公平的市場競爭地位。
Zoom安全與隱私充滿疑慮
除了有灌水嫌疑的點對點加密宣告,Zoom也面臨嚴峻的侵害隱私權官司。在隱私保護聲明上,Zoom宣稱公司會運用一套標準安全措施來保護使用者的個資、不被非法公開或濫用。但實際上據一份3月26日公開的科技專家測試報告,不管使用者有沒有臉書帳戶,Zoom都會默默將大量的使用者資料傳送給臉書,同時也取得使用者的臉書資料,以利精準投放網路廣告。
在上述蒐集、使用個資的行爲中,Zoom是否充分告知使用者並取得使用者的同意,不無疑問。美國加州也因此有了第一件基於《消費者隱私法案》控告Zoom對使用者隱私保護不周的訴訟。
更嚴重的是,有能力「偷看」使用者視訊內容的Zoom,雖然公開聲稱自己絕不會這麼做,但近日卻又被專家發現,許多不在中國境內啓動的會議內容,資訊傳輸路徑卻有時「繞進」中國。儘管Zoom表示這是無心的錯誤,而目前尚無證據顯示軟體內有刻意藏下的後門。但是種種資訊不確不實、說明不清不楚,已給人們一種Zoom試圖「混過安全與隱私要求」的印象,勢必影響未來人們的使用意願。
潮水退後,才知道哪些人赤身裸體。在陽光下檢視,方知道哪些公司走在法律的灰色邊緣。Zoom的創辦人在一連串檢驗之下,已經出面道歉並承諾未來改進,但由此知,資訊安全和隱私保障已成全球的通用標準,未來數位經濟發展,不可能只談技術好不好用,也應該重視文明法律的要求。
熱門文章》
► 按贊加入粉絲團,讓你成爲話題王!
● 以上言論不代表本網立場,歡迎投書《雲論》讓優質好文被更多人看見,請寄editor88@ettoday.net或點此投稿,本網保有文字刪修權。