很多使用者都以為視訊會議軟體 Zoom,徹頭徹尾實踐了「端到端加密」(End-to-end encryption,E2EE)功能,確保線上會議內容安全無虞。但是,根據外媒深入研究後發現,Zoom 並沒有真正使用外界認為的「端到端加密」,造成了極大的隱私安全風險。
👉 歡迎加入T客邦telegram ( https://t.me/TechbangNEWS )
根據國外媒體 The Intercept 報導,Zoom 在官方網站與安全性白皮書中所稱「視訊會議皆採用端到端加密」的說法,與實際情況並不相符。The Intercept 進一步求證 Zoom 發言人後,他們承認當前的 Zoom 視訊會議功能,的確無法啟用真正的端到端加密。
既然如此,Zoom 所稱的「端到端加密」又是怎麼回事呢?確實,Zoom 上的所有連線都透過了 TLS 進行加密傳輸,這與網頁瀏覽器用來保護 HTTPS 網站的標準相同。這表示,使用者到 Zoom 伺服器間的通訊,的確具備著加密保護,就如同存取 Gmail 或 Facebook 一樣。
但是,通常我們理解「端到端加密」時,指的都是「客戶端」到「客戶端」間的 E2EE,例如 Signal 或 WhatsApp 這類通訊軟體,皆有實踐嚴格的端到端加密,服務提供者無法從加密連線中,獲得任何的存取權限。但是,Zoom 的情況卻與外界認知的有不小落差。
目前 Zoom 所採行的端到端加密為「兩段式」,即「客戶端」到「伺服器」具備 E2EE,而「伺服器」到「客戶端」是另一段 E2EE,Zoom 本身並沒有提供「客戶端」到「客戶端」的一段式加密,這使得他們所聲稱的「端到端加密」極具誤導性,也代表 Zoom 可能有辦法存取伺服器上的資訊,形成了隱私安全漏洞。
對此 Zoom 向 The Intercept 表示,他們的「端到端加密」說法並沒有刻意誤導使用者,在 Zoom 所有支援文件中,只要提到「End to End」都是指 Zoom 端點到 Zoom 端點之間的加密連接,即便中途通過伺服器,內容也不會在雲端遭到解密。
詭異的是,Zoom 內建的文字聊天功能,確實具備嚴格的端到端加密功能,Zoom 官方也指出,他們沒有解密這些訊息的特定密鑰。
Zoom 也特別強調,公司會透過軟體收集部分的用戶資料,包含 IP 位置、作業系統與硬體詳細資訊,但僅會用於改善軟體使用體驗,並在使用者同意的狀況下進行,不會出售或分享給第三方,Zoom 內部員工更不可能存取特定的會議內容。
過去,曾有媒體爆出 Zoom 洩漏了上千個電子郵件地址與圖片給陌生使用者,甚至允許進行視訊對話,還有讓 Mac 使用者點擊到惡意網站時,透過 Zoom 啟動視訊攝影機,以及最近的傳送資料給 Facebook 事件等,都讓 Zoom 的安全性得到不少質疑。
企業或個人用戶到底該不該繼續使用 Zoom 呢?只能說我們並不是沒有其他替代選擇,例如微軟的 Teams 就擁有視訊會議功能,要拿 FaceTime 或 WhatsApp 來開會也並非不可以,如果你真的很擔心 Zoom 的安全性風險,不妨現在起就改用其他 App 吧!
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!