Zoom被指向中國傳輸加密信息 創始人承諾修補安全漏洞

創始人袁征坦承Zoom的使用者是一夜之間暴增。

【博聞社】加拿大多倫多大學星期五公布的一份研究報告顯示,視頻會議軟件Zoom使用了一種非標準的加密方式,並向中國傳輸加密信息。

在新型冠狀病毒疫情期間,可供企業開展視頻電話會議的Zoom軟件大受歡迎。隸屬於多倫多大學的網絡研究機構“公民實驗室”(Citizen Lab)警告說,用戶激增為“網絡間諜創造了淘金熱”。

研究員馬爾扎克(Bill Marczak)說:“Zoom犯了一個典型的錯誤,那就是設計和採用了他們自己的加密方案,而不是使用現有的語音和視頻內容加密標準。”

他警告說:“希望不受間諜活動影響的用戶在使用這款應用討論敏感信息前應該三思。”

除了加密標準,研究人員還發現Zoom公司向中國發送加密信息,即使使用Zoom的與會者都在國外。

報告稱:“在北美的多次測試通話中,我們觀察到加密和解密會議的密鑰被傳輸到中國北京的服務器上。”

儘管Zoom公司的總部設在美國加州聖何塞,但在中國大陸有三個機構,共約700名員工緻力於該應用的開發。

報告寫道:“在中國進行開發可能會讓Zoom不必支付硅谷的薪水,從而減少他們的開支,提高他們的利潤率。然而,這種安排也可能會讓Zoom受到來自中國當局的壓力。”

隨着全球疫情加劇,更多公司對網上會議的依賴增加,每天有2億場會議通過Zoom舉行。目前,該公司在中國的存在已經引起了美國網絡安全專家的注意。

“Zoom的大部分工程團隊都在中國,”智庫戰略與國際研究中心兼職研究員赫爾伯格(Jacob Helberg)本周在推特上寫道。“在一個容易被中共收集數據的平台上進行敏感對話,應該會讓那些關心保護公司或政府機密的人有所顧慮。”

目前美國至少有兩個州的司法部長對Zoom公司的隱私保護提出了質疑。

康涅狄格州司法部長湯偉麟(William Tong)稱正在與其他州的司法部長合作,向該公司尋求更多有關其隱私和安全措施的信息。

紐約州司法部長詹樂霞(Letitia James)在一封信中要求Zoom公司回答系列問題,以確保該公司正在採取適當措施來確保用戶的隱私安全。

Zoom公司的一名發言人表示,公司將與政府官員就這些問題展開磋商。這位發言人說:“我們感謝各方官員就這些問題提出的建議,並期待與他們接觸。”

Zoom創始人公開道歉承諾修補安全漏洞

在全球用戶提出批評後,通訊軟體Zoom宣布暫停任何新功能的開發,以專註於安全和隱私問題。

這個視頻會議應用程序的首席執行官袁征(Eric Yuan) 在博客中對安全問題“無法達到標準”致歉,並承諾將解決這些問題。他說,在冠狀病毒大流行之前,他沒有預測到Zoom的使用者會以前所未有的方式暴增。

袁征坦承Zoom的使用者是一夜之間暴增。他說:“截至2019年12月底,包含免費和付費的使用者,Zoom虛擬會議人數最多的一日使用者曾經達1000萬人。但今年3月,我們曾有一天超過2億使用者的紀錄。

他承認,儘管公司“整日不間斷工作”以支持湧入的新用戶,但該服務“仍未達到對使用社群(以及我們自己)對隱私和安全性之期望”。

“為此,我深感抱歉。”袁征寫道。他解釋,“我們當初設計產品時,並未預設在短短几周內,全世界每個人都會突然在家工作,學習和社交。”

“我們現在擁有廣泛的用戶群體,以各種意想不到的方式使用我們的產品,從而給我們帶來了設計這個產品時沒有想到的各種挑戰,” 袁征補充。

Zoom因一連串隱私問題遭致批評,包括將用戶數據發送到Facebook,錯誤地聲稱該應用程序具有“端到端加密”以及允許虛擬會議主持人追蹤到參與會者的資料(譬如IP等)。

前國家安全局(NSA)駭客沃德(Patrick Wardle)發現了Zoom的一系列問題,其中包括一個資訊安全漏洞,該漏洞讓使用蘋果電腦(Mac)的用戶,在使用該軟體時,電腦網絡攝像頭和麥克風更容易被駭客入侵。網路安全顧問格雷厄姆·克魯利(Graham Cluley)稱,Zoom現在面臨“危機”。

袁征於2011年在美國創立了Zoom,他說現在該公司為解決安全疑慮而採取的步驟如下:

  • 對加密方法進行說明
  • 刪除從iOS應用到臉書的共享代碼
  • 發布與Mac相關問題的修復程序
  • 刪除與領英網站(LinkedIn)之連接,以防止不必要的數據泄露
  • 發布如何避免成為“zoom轟炸”受害者的說明

在接下來的90天內,該公司又計劃:

    • 暫時凍結新功能開發,以專註於安全和隱私
    • 與獨立專家進行審查,以了解新客戶所需的新安全功能
    • 編寫有關數據請求的透明度報告
    • 擴大其“漏洞賞金”計劃
    • 每周舉行一次網絡研討會,以提供隱私和資訊安全更新

美國之音/BBC

Add a Comment

發佈留言必須填寫的電子郵件地址不會公開。