深入了解 Zoom 資安爭議事件！使用者該如何更安全地使用視訊通話軟體？

‍

在因新冠肺炎疫情全球肆虐而起的遠端工作潮之中，適合遠端工作的筆記型電腦設備、視訊會議軟體等產品，均在銷售成績上斬獲爆炸性的成長。其中，根據 Alexa 調查，專注於透過 UI 設計提升用戶體驗感、並有效降低使用摩擦 (User Friction) 的視訊會議軟體 Zoom.us，更是在這波遠端工作浪潮中逆勢成長，一躍成為最常被使用的網站全美第 6 名、世界第 15 名（本文發布時點 2020 年 9 月 7 日數據）。

能受到眾多使用者青睞，Zoom 的便利性自然無庸置疑，不僅可以免費發起最高一百人的視訊會議，軟體本身的相關設定與操作也十分簡單易懂。然而，在這些吸引用戶的優點背後，Zoom 卻也有著不可忽視的隱藏風險。正當 Zoom 的業務與用戶量快速增長之時，全球各地的資安專家們也很快地發現並揭露 Zoom 的多種安全漏洞與隱憂，在這之中最值得一提的，便是關於 Zoom 網路基礎架構的設計問題，尤其 Zoom 會議金鑰的傳輸路徑被發現可能經過中國，也令擔憂中國網路法規可能造成資安影響的用戶們格外關注。

基於諸多安全隱憂在 Zoom 使用者中所掀起的大量反彈聲浪，Zoom 團隊自漏洞開始相繼遭披露後，便積極地針對安全問題展開修補，亦在今年四月底展示了修正後的 Zoom 5.0 版本更新。不過，正如同資安記者 Kim Zetter 早在四月初所發布的推特貼文所說，Zoom 很可惜地未能及早對產品做好安全檢測，故而勢必難以避免這場爭議事件的延燒。而從我們所做的研究來看，我們認為 Zoom 軟體目前仍屬於快速開發的產品週期階段，而這正是主要的問題－－即便 Zoom 已修復多數被揭露的漏洞，但從顯然仍在開發中的平台及其資安防護狀況，卻也足以預想未來 Zoom 依舊有再發生資安事件的可能性。

‍

那麼，究竟該不該用 Zoom 呢？

當然可以用，但前提是你不介意暴露在機密資料或個資外洩的風險下。如果你只是打算分享些無關緊要的事情，例如一則有意思的時事梗笑話、或者令人會心一笑的可愛小動物影片，就儘管放心地使用 Zoom 吧！

如果你有使用視訊會議軟體的需求，由非營利組織創辦的《消費者報告》雜誌也指出，Zoom 並不是唯一一款有隱私疑慮的視訊會議產品，常見的 Google Meet、Microsoft Teams、Cisco WebEx 等也都有隱私上的問題存在，使用者在利用這些軟體或服務時皆應更為謹慎；另一點有趣的是，在 2007 年 Cisco 併購 WebEx 至旗下後不久，Cisco 即任命袁征 (Eric Yuan) 為工程部門的副總裁，而袁征在四年之後離開 Cisco 並創辦了 Zoom。

「依據相關的隱私權政策，這三間公司都能夠在用戶進行視訊會議時蒐集資料，他們可能用來和從資料仲介 (Data Broker) 或其他來源取得的資料結合，建立消費者資料檔案，甚至有可能將你的視訊用作 AI 臉部辨識系統的訓練等其他目的。」－－Bill Fitzgerald，《消費者報告》隱私研究人員

有必要完全禁止使用 Zoom 嗎？誰應該要更重視資安？

我們強烈建議不要使用 Zoom 來討論或分享機敏程度高的資訊、或者任何與個人隱私有關的內容，尤其針對以下身份的使用者，需要格外注意及謹慎：

• 各級政府、公家機關相關人員
• 擔憂受到網路犯罪或商業間諜活動影響的組織
• 醫院及醫療機構等經手病患個人隱私資訊的單位
• 社工人員、律師、記者等處理包含敏感性資訊工作的人員
• 遠距離的課程教學，尤其小心遭到 Zoom 轟炸 (Zoom-Bombing / Zoom Raiding) 並出現不適合兒童觀看的內容。

Zoom 資安事件相繼爆發，截至目前全球已有許多單位決議禁止或嚴格限制 Zoom 的使用，包含科技龍頭 Google、Elon Musk 創辦的太空技術公司 SpaceX、美國太空總署 NASA，以及世界各國諸多政府公部門，如美國參議院、德國外交部、澳洲國防軍隊、印度政府、新加坡教育局、紐約市教育局及台灣政府等，為數眾多的政府及私人組織針對 Zoom 的安全爭議做出禁用決策。

不過，做為一款易上手且受歡迎的視訊軟體，即使受到企業與政府單位的禁用或限制，Zoom 依然是世界上最多人使用的遠端會議應用程式之一。如同前述曾提及，Zoom 團隊於今年四月時發布了 5.0 版本更新以修復漏洞，而相較於 Zoom 4.0 也的確不斷地在安全層面有所改善。但是，Zoom 5.0 真的就足夠安全了嗎？問題可能就回到使用者們身上，需要自行判斷他們的對話需要多少安全程度才放心了。

試試這幾招！提升使用 Zoom 時的安全性

1. 避免下載安裝 Zoom 的應用程式，盡可能透過安全的沙盒網頁瀏覽器來使用 Zoom 的網頁版服務。
2. 若是必須安裝 Zoom 的軟體時，特別留意並確保您是從 Zoom 的官方網站下載安裝檔，勿從來路不明的第三方網頁下載。
3. 以匿名的 ID 使用 Zoom，勿任意揭露您的真實姓名。
4. 在無需使用到、或剛結束使用的當下，將攝影機及錄音、錄影等功能全數關閉。
5. 未使用時保持以貼紙等物件遮擋住電腦或是視訊設備上的攝影鏡頭。
6. 替您的每一場視訊會議加上密碼，這麼做可以有效降低遭到 Zoom 轟炸 (Zoom-Bombing / Zoom Raiding) 的機率；但若您會議的任一位參與者有意或無意洩露了密碼，這麼做就仍會有高度的風險，因此使用 Zoom 或任何免費通訊軟體時，仍須保持警覺並評估適當性。
7. 若您需要控制會議中的不同參與者是否可發言、畫面分享、視訊等，建議您可使用 Zoom Webinar 付費功能，如此一來也可減少受到 Zoom 轟炸的影響。
8. 透過 Facebook 帳號登入 Zoom 雖可將大幅提升操作體驗感，卻也同時增加您真實身分洩露的可能性，因此我們並不建議這麼做，並且謹慎管理所有與 Facebook 帳號連動的應用程式，避免暴露於風險之中。
   關於授權 Zoom 存取 Facebook 帳號的安全隱患，在資安研究員 s3c 先前曾上傳的部落格文章「How I Hacked Worldwide Zoom Users」中，便曾揭露了在使用 Facebook 登入 Zoom 時，可以繞過信箱驗證步驟，並進一步任意加入視訊會議或讀取公司所有人員信箱資訊的漏洞（該漏洞現已由 Zoom 完成修補，且文章已被 s3c 移除）。
   雖然 Zoom 官方已修復此漏洞，但類似的惡意手法仍可能出現在其他地方，請務必格外留意。
9. 請注意，倘若您過去便已使用 Zoom，您的帳號資料有可能已遭到洩露，且相關的影響將持續發展。建議您定期透過 haveibeenpwned.com 檢驗帳號安全，在該網頁的欄位中輸入您的電子信箱地址，便可查看此信箱相關資訊在多少個及哪幾個網站曾遭到洩露，並應盡速修改密碼。
10. 進行視訊會議時，應留意參與者的所在位置及會議內所涉及的話題，部分的話題內容可能在不同地區會受到相異的法律規範。
11. 四月初時 Zoom 曾表示將在 90 天內公開透明度報告，雖然目前已超過 90 天期限且 Zoom 未表明延後發布的具體日期，僅在七月初的部落格文章稱「已在定義透明度報告架構與方法上取得重大進展」，但同時亦針對近三個月內的相關措施及更新提出說明。建議您可參閱這份 90 日安全性更新摘要，並留意 Zoom 未來可能公開的透明度報告。

Zoom 與中國的關聯是否影響安全性？

‍

‍

Zoom 在中國設有三個研發中心，其中有一個負責了產品的研發，另外兩個目前則歸屬於軟視軟件（蘇州）有限公司。根據 Zoom 提交給美國證券交易委員會 (Securities and Exchange Commission, SEC) 的資料，在 Zoom 共約 2,500 名的員工之中，有將近 28%、大概 700 人左右隸屬於位在中國的研發團隊；此外，《富比士》雜誌曾報導，在 Zoom 前身 Saasbee 的初期 30 人開發團隊中，也有部分的成員是位在中國。

這的確降低了 Zoom 的研發人力成本，卻也讓許多人產生了安全性的疑慮，基於 2017 年 6 月 1 日開始生效的《中華人民共和國網絡安全法》，Zoom 可能有向中國政府揭露加密密鑰或各項數據的法律義務，而 Zoom 的 E2E 架構又使此問題更加複雜化。經過實驗證實，在某些狀況之下，即便是一場位於北美的 Zoom 視訊會議，其加密密鑰仍會經由位在中國的 5 台伺服器傳輸，而非位在北美的其他 68 台伺服器。一旦密鑰及資料數據被儲存在位於中國的伺服器內，便會大幅提升受到前述網路安全法影響的可能性，因為倘若中國政府依法要求，Zoom 就必須遵循當地法律的規範交出機敏資訊。

當然，這裡闡述的是一個應留意的可能性。目前尚未有證據顯示中國、或任何其他國家，曾取得過 Zoom 的會議金鑰，然而，Zoom 團隊也不曾針對此問題發表過透明度報告。關於此情形，今年四月底的時候 Zoom 宣布新增了供付費用戶使用的設定選項，付費用戶得以利用該選項避開特定區域的伺服器，而使用免費版本的 Zoom 用戶，則預設會使用最接近他們所在區域的伺服器。對此，Zoom 執行長袁征曾於四月初的部落格中，承認確實有部分視訊會議會誤連到中國伺服器，而這是一個不該發生的狀況，目前已被 Zoom 團隊修復。

90 日安全性計畫以後，還要多久才能看到 Zoom 的透明度報告？

人權倡議組織 Access Now 曾公開呼籲，要求 Zoom 應公開一份透明度報告，內容關於各國政府是否曾要求得到數據、Zoom 如何回應相關要求，以及 Zoom 將如何通知使用者類似的要求或資料洩露事件等。過去，Zoom 曾在短期之內發生多起的資料洩漏，像是數千筆帳號密碼在暗網上被販售，還有包含企業帳號、教育機構、醫療單位等的逾 2,000 組登入憑證被分享在線上論壇中。《華盛頓郵報》更曾經指出，有約 15,000 筆 Zoom 視訊會議的錄影在未受保護的伺服器中被尋獲。

對於 Access Now 的公開呼籲， Zoom 在四月初曾經承諾過，會在 90 天內、亦即六月底前公開其透明度報告；然而，這份各界關注的透明度報告，卻未能順利在六月底的承諾期限內發布，且並未具體表明延後發布的日期。根據 Zoom 部落格七月初發表的執行長報告，官方談及 90 天安全性計畫內的新措施，包含新增上百項功能、設立 CISO 委員會、加強 Bug Bounty 計畫、進行滲透測試等，但關於透明度報告則僅稱「已在定義透明度報告架構與方法上取得重大進展」，並預計於今年首次報告的同時提供第二季度會計資料。

關於 90 天安全性計畫的進度，可以參考 Zoom 部落格的這篇文章，以及其附上的更新摘要。

接二連三的資安事件，是否意味著 Zoom 還沒準備好？

「設計產品時，我們並未預料到在短短數週内，世界上會有如此多的人將突然轉變為在家裡工作、學習及互動交流。我們現在的使用者群比過去廣泛許多，他們運用產品的方式，也常常與我們原本預期的使用方式不同，這產生了一些我們構思平台設計時並未預期到的挑戰。」Zoom 執行長袁征在官方部落格上發布的公告如此說明。

與預期不同的使用方式？很明顯地，袁征使用了一種比較溫和的方式，來形容 Zoom 所遭遇到的非法使用－－也就是駭客入侵與攻擊，畢竟，我們可不會將那些合法使用 Zoom 的方式，像是嘗試在視訊會議時套上 Snapchat 特效濾鏡之類的，稱為一個「設計產品時未預期的挑戰」，反而這段時間以來，世界各地的用戶卻都已看到 Zoom 在資訊安全上的「未預期性」失敗。

依據我們團隊所做的研究，Zoom 從其軟體設計的核心開始，就已經有安全方面的缺失，因此，更多的資安漏洞、以及更多的更新修補，對 Zoom 和其使用者而言，也都在可預見的未來中。這也同時能警醒所有開發人員，開發產品時，絕對不能為了可用性或任何原因，犧牲安全性、又或者在安全層面做出任何妥協。

不過值得讚賞的是，Zoom 官方對於遭到披露的漏洞，像是帳戶劫持、iOS 個人資料共享、Zoom 會議等候室安全漏洞、Zoom 轟炸大量增加，以及藉由特定手段繞過 macOS 安全預防措施等，皆展現出積極的處理態度，盡其所能地應對相關安全威脅。

‍

資訊隱匿或誤導衍生的信賴感問題

除了軟體安全漏洞的問題外，有些與軟體本身無關的議題，即便我們認為這並不實際影響安全層面的風險，卻也確實造成了部分用戶對 Zoom 的不信賴。要知道，在資訊安全的世界裡，信賴是最重要的、它幾乎等同於一切。

許多的批評聲浪，來自於 Zoom 並未使用業界標準定義的端點對端點加密 (End-to-end Encryption) 方式，針對這一點的大量質疑，甚至迫使 Zoom 的產品管理部門主管 Oded Gal，在官方部落格上發表了一篇長文來說明並致歉。造就不信賴感的原因，其中之一是 Zoom 在官方文件中宣稱透過 AES-256 加密法保護影音及音訊的傳遞，卻被揭露實際上只用單把的 AES-128 金鑰以 ECB (Electronic Codebook) 模式加密傳輸。

相較之下，AES-128 確實比 AES-256 來得弱，但也不能就這樣宣稱它不安全，主要會不夠安全的部分，在於它使用了 ECB 作為加密模式；ECB 加密模式將密文拆分成數個區塊後各自加密，然而如此一來，相同的明文塊會被加密成相同的密文塊，使內容有跡可循、並非一個足夠嚴格且安全的資料保護方法。

對此，袁征也於部落格中再次發文道歉，並且承認 Zoom 在加密傳輸的設計上仍有進步空間。Zoom 5.0 版本已升級成 AES-256 GCB (Galois/Counter Mode) 模式進行加密。

而 Zoom 官方隱匿或誤導資訊的疑雲還不只如此，根據科技媒體《The Verge》的揭露，在 Zoom 即將掛牌上市那斯達克前，曾號稱每日有最高三億的「用戶 (Users)」使用，但事實上，這個數據僅應計算「會議主持人」，Zoom 卻把不應納入計算的「會議參與者」給一併算了進去，導致誤解；Zoom 隨後坦承他們在用詞上的瑕疵，說明他們是誤用了用戶一詞，他們所說的其實是「參與者 (Participants)」才對。據信，這個數值的縮水下調，影響 Zoom 的股價在 4 月 30 日當天下降了接近 9%，那天正巧是 Zoom 納入那斯達克 100 指數的日子。

結論？

Zoom 資安爭議可說是在疫情大爆發後，再次引發「安全性與可用性應如何取捨」討論的一個經典案例。儘管 Zoom 在這段時間內接連爆出許多安全疑慮（並發布對應的修補），但不可否認的是，透過網路執行視訊與語音通話，已是現代人們最常使用的一種溝通、聯繫方式；而 Zoom 幾乎無摩擦的使用者介面 (Frictionless UI) 設計，以及高度便利具可用性的各項功能（甚至前述提到的 Snapchat 濾鏡特效已經整合進去了），也使其不出意料地快速成長為世上最常被使用的應用程式之一。

倘若 Zoom 能成功度過這一波波的安全爭議、利用疫情期間累積的能量站穩其市場領導地位，並且努力地避免再次發生有損商譽或信賴度的事件，那麼，或許在未來的某一天，Zoom 就能夠成為市場上同類產品中最受歡迎、同時也最安全的一款；而持續遵循各項常見的協定或標準、以及它們定義的技術規範，將會是一個十分不錯的出發點。

當然，我們也持續等待 Zoom 官方釋出他們承諾過的透明度報告，或許看過報告內容，我們才能夠對 Zoom 未來在資訊安全以及市場拓展等方面的計畫，有再多一些些的了解吧。

無論 Zoom 最終的命運走向何方，今年這波資安爭議的延燒都清楚向大眾證明了，包含視訊會議軟體在內、所有軟體都應該要經過適當的安全性審查。一個應用程式被多數人喜愛和使用，並不代表它就是一個夠安全的軟體；於此同時，方便的功能與可用性，也永遠不應成為犧牲隱私、放棄安全防護的理由。