Zoom被指向中国传输加密信息 创始人承诺修补安全漏洞

创始人袁征坦承Zoom的使用者是一夜之间暴增。

【博闻社】加拿大多伦多大学星期五公布的一份研究报告显示,视频会议软件Zoom使用了一种非标准的加密方式,并向中国传输加密信息。

在新型冠状病毒疫情期间,可供企业开展视频电话会议的Zoom软件大受欢迎。隶属于多伦多大学的网络研究机构“公民实验室”(Citizen Lab)警告说,用户激增为“网络间谍创造了淘金热”。

研究员马尔扎克(Bill Marczak)说:“Zoom犯了一个典型的错误,那就是设计和采用了他们自己的加密方案,而不是使用现有的语音和视频内容加密标准。”

他警告说:“希望不受间谍活动影响的用户在使用这款应用讨论敏感信息前应该三思。”

除了加密标准,研究人员还发现Zoom公司向中国发送加密信息,即使使用Zoom的与会者都在国外。

报告称:“在北美的多次测试通话中,我们观察到加密和解密会议的密钥被传输到中国北京的服务器上。”

尽管Zoom公司的总部设在美国加州圣何塞,但在中国大陆有三个机构,共约700名员工致力于该应用的开发。

报告写道:“在中国进行开发可能会让Zoom不必支付硅谷的薪水,从而减少他们的开支,提高他们的利润率。然而,这种安排也可能会让Zoom受到来自中国当局的压力。”

随着全球疫情加剧,更多公司对网上会议的依赖增加,每天有2亿场会议通过Zoom举行。目前,该公司在中国的存在已经引起了美国网络安全专家的注意。

“Zoom的大部分工程团队都在中国,”智库战略与国际研究中心兼职研究员赫尔伯格(Jacob Helberg)本周在推特上写道。“在一个容易被中共收集数据的平台上进行敏感对话,应该会让那些关心保护公司或政府机密的人有所顾虑。”

目前美国至少有两个州的司法部长对Zoom公司的隐私保护提出了质疑。

康涅狄格州司法部长汤伟麟(William Tong)称正在与其他州的司法部长合作,向该公司寻求更多有关其隐私和安全措施的信息。

纽约州司法部长詹乐霞(Letitia James)在一封信中要求Zoom公司回答系列问题,以确保该公司正在采取适当措施来确保用户的隐私安全。

Zoom公司的一名发言人表示,公司将与政府官员就这些问题展开磋商。这位发言人说:“我们感谢各方官员就这些问题提出的建议,并期待与他们接触。”

Zoom创始人公开道歉承诺修补安全漏洞

在全球用户提出批评后,通讯软体Zoom宣布暂停任何新功能的开发,以专注于安全和隐私问题。

这个视频会议应用程序的首席执行官袁征(Eric Yuan) 在博客中对安全问题“无法达到标准”致歉,并承诺将解决这些问题。他说,在冠状病毒大流行之前,他没有预测到Zoom的使用者会以前所未有的方式暴增。

袁征坦承Zoom的使用者是一夜之间暴增。他说:“截至2019年12月底,包含免费和付费的使用者,Zoom虚拟会议人数最多的一日使用者曾经达1000万人。但今年3月,我们曾有一天超过2亿使用者的纪录。

他承认,尽管公司“整日不间断工作”以支持涌入的新用户,但该服务“仍未达到对使用社群(以及我们自己)对隐私和安全性之期望”。

“为此,我深感抱歉。”袁征写道。他解释,“我们当初设计产品时,并未预设在短短几周内,全世界每个人都会突然在家工作,学习和社交。”

“我们现在拥有广泛的用户群体,以各种意想不到的方式使用我们的产品,从而给我们带来了设计这个产品时没有想到的各种挑战,” 袁征补充。

Zoom因一连串隐私问题遭致批评,包括将用户数据发送到Facebook,错误地声称该应用程序具有“端到端加密”以及允许虚拟会议主持人追踪到参与会者的资料(譬如IP等)。

前国家安全局(NSA)骇客沃德(Patrick Wardle)发现了Zoom的一系列问题,其中包括一个资讯安全漏洞,该漏洞让使用苹果电脑(Mac)的用户,在使用该软体时,电脑网络摄像头和麦克风更容易被骇客入侵。网路安全顾问格雷厄姆·克鲁利(Graham Cluley)称,Zoom现在面临“危机”。

袁征于2011年在美国创立了Zoom,他说现在该公司为解决安全疑虑而采取的步骤如下:

  • 对加密方法进行说明
  • 删除从iOS应用到脸书的共享代码
  • 发布与Mac相关问题的修复程序
  • 删除与领英网站(LinkedIn)之连接,以防止不必要的数据泄露
  • 发布如何避免成为“zoom轰炸”受害者的说明

在接下来的90天内,该公司又计划:

    • 暂时冻结新功能开发,以专注于安全和隐私
    • 与独立专家进行审查,以了解新客户所需的新安全功能
    • 编写有关数据请求的透明度报告
    • 扩大其“漏洞赏金”计划
    • 每周举行一次网络研讨会,以提供隐私和资讯安全更新

美国之音/BBC

Add a Comment

發佈留言必須填寫的電子郵件地址不會公開。