有關 Zoom 的資安疑慮與建議

Ling-Jyh Chen
6 min readMar 27, 2020

--

作者:呂紹勳、陳伶志

由於近期新型冠狀病毒疫情的影響,許多會議的進行逐漸從面對面的方式,改為線上進行,因此視訊會議軟體也一躍成為當紅的遠端辦公軟體;其中 Zoom 這套軟體由於功能完整、視訊品質佳,同時操作介面簡單,加上搭配疫情所推出的一系列免費優惠方案,因此已迅速普及,成為全球最熱門的網路應用軟體。然而,也隨著人們對 Zoom 這套軟體的越發了解,許多資訊安全上的隱憂也一一浮現,針對這些疑慮,以下整理了相關的報導與正反兩方的意見如下,並且給予使用 Zoom 這套軟體的資訊安全建議。

Zoom的資安議題

在過去幾年間,Zoom 這套軟體曾經因為資安事件,至少上了兩次新聞版面:

  1. 2019 年 Zoom 軟體在 Mac 電腦上被發現有資安漏洞,導致 Zoom 軟體可以在不須經過使用者同意下,自動開啟鏡頭 [1]。
  2. Zoom 的安全威脅 — 使用者圖方便,不喜歡設定密碼 [2]。

但是,若進一步仔細探究上述資安事件的源頭,仍不外乎「軟體開發不周全引發漏洞缺陷」及「使用者貪圖使用方便性,致使有心人士有機可乘」兩大原因,而這兩項原因其實普遍存在多數的應用軟體中,只要開發商願意迅速修補漏洞,以及使用者充實自我資安意識,其威脅程度是可以大幅降低,不至於到不可用的地步的。

然而,Zoom 真正為人所擔心的地方,其實是其創辦人的背景有強烈的中國色彩,且其主要開發團隊皆在中國境內 [3],而長久以來中國政府對於境內高科技公司的掌控與插手程度,讓人不免懷疑 Zoom 這套軟體是否也因此可能潛藏後門,或者存在尚未爆發的資安風險。特別是一些重要的會議若是透過 Zoom 進行,是否能確保會議內容的機密,更是大家關心的重點。

Zoom不能用嗎?

在另一方面,Zoom 本身也展現極大的企圖心,希望證明軟體的資訊安全是值得信賴的。例如,在2019年5月7日,Zoom 在其官網上公布其政府版的軟體 (Zoom for Government) 已通過美國中央雲端軟體採購認證(FedRAMP),並獲得美國國土安全部採用作為視訊會議相關用途 [4],該項認證需經過美國政府單位資訊部門詳細的風險評估與安全測試,因此足以證明其安全無虞。

除此之外,針對上述自動開啟鏡頭的資安議題,Zoom 團隊也在 2019年7月便緊急進行程式修補,讓使用者可以在解除安裝 Zoom 時,能夠完全移除本地主機(Localhost)網頁伺服器;或者也可以透過程式的自動更新,刪除有安全疑慮的本地主機網頁伺服器 [5],以果斷負責的行動展現其重視資安的程度。Zoom 也在官網上提供資訊安全白皮書,持續更新並公開 Zoom 在軟體安全上所做的努力。

怎麼用Zoom比較安全

由於 Zoom 仍是目前功能最全面,也是市場使用率最高的視訊會議軟體,雖然如上所述在資訊安全上仍有一些疑慮,但似乎又沒有十足的證據可以證明 Zoom 是不安全的軟體,因此現階段與其爭論 Zoom 是否安全,不如強化使用者的使用習慣,增添使用視訊會議時的資安防護,以下是幾點建議的措施:

  1. 使用 Zoom 進行會議時,請務必啟用點對點加密。(預設功能,請勿關閉)
  2. 建議從 Zoom 政府版網頁 [6] 下載軟體,並且隨時保持讓程式更新到最新版本。
  3. 在 Zoom 系統中註冊專屬的帳號,並且設定未曾使用過的專屬密碼,請不要使用以既有Facebook 或Google 帳號登入的方式進行認證。
  4. 舉行會議時,請務必設定會議密碼(最好每場會議都不一樣,且要注意密碼的強度),以防無關的第三人擅入;同時,會議主持人的密碼,也須避免重複使用,並注意密碼的強度。
  5. 邀請與會者時,會議室的連結與會議密碼不要用同一封信寄出,如果是重要的會議,會議密碼應該採行其他的通訊方法告知。(例如電話簡訊或 Line 等)
  6. 在自己電腦的作業系統中,另外開設一個只有一般權限的使用者帳號,並使用這個使用者帳號去參加 Zoom 會議,等會議結束後,再切換為原本的使用者帳號。
  7. 若為臺灣學術網路使用者,可使用教育部提供的 Zoom 服務,其伺服器架設在教育部的機房,在資安管控上較可以信賴。

結語 — 如果對於Zoom還是有疑慮怎麼辦

資訊安全本身除了技術面外還存在更多的信任議題,而資訊安全的超前部署,也永遠是不嫌多的。如果對於Zoom 的資訊安全還是心存疑慮,或者會議本身具有高度敏感性,建議可以改用其他的通訊或視訊會議軟體。例如,對於與會人數不多,不需要特殊會議功能(例如白板、投票、錄影等)的會議,可以使用Line、Skype、Facetime等軟體;對於跨單位、與會人數多或者需要特殊會議功能的會議,可以採用Cisco WebEx、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting、以及開源的 Jitsi Meet 等軟體。

必須重申的是,在資訊安全的領域中,沒有任何軟體是保證安全的,在使用任何軟體時,使用者都需要保有資安意識,若有任何疑慮,或發現任何可疑現象,可以立即尋求資訊人員的協助,也唯有大家同心協力,才能讓整體的資訊服務更加便利與安全。

參考資料

[1] 鄧天心,新頭殼newtalk (July, 2019):驚爆資安漏洞!視訊會議軟體Zoom能偷偷開啟Mac. https://newtalk.tw/news/view/2019-07-10/270849

[2] Zak Doffman, Forbes (Jan 28, 2020): New Zoom Security Warning: Your Video Calls At Risk From Hackers — Here’s What You Do. https://www.forbes.com/sites/zakdoffman/2020/01/28/new-zoom-roulette-security-warning-your-video-calls-at-risk-from-hackers-heres-what-you-do/

[3] XY Wang, PANDA!YOO (March 10, 2020): Zoom! You are using the video conference application (mostly) developed by Chinese. https://pandayoo.com/2020/03/10/zoom/

[4] Priscilla Barolo, Zoom Inc. (May 7, 2019): Zoom Achieves FedRAMP Moderate Authorization. https://blog.zoom.us/wordpress/2019/05/07/zoom-achieves-fedramp-moderate-authorization/

[5] 李建興,iThome (July 10, 2019):Zoom緊急修正Mac客戶端漏洞,拿掉本地主機網頁伺服器. https://www.ithome.com.tw/news/131763

[6] Zoom or Government, https://zoomgov.com

--

--

Ling-Jyh Chen
Ling-Jyh Chen

Written by Ling-Jyh Chen

A researcher in Academia Sinica, and the PI of the AirBox project

Responses (3)