Zoom一再爆發保安問題 逐一改善仍未能 消除用戶疑慮

Zoom近來最令人關注的議題，就是Zoom會議有機會被黑客入侵，又或者遭惡作劇騷擾。Zoom目前最常出現於學校的教學當中，學生們為了尋求刺激，將Zoom會議的ID與密碼（或連結）在公共地方發佈，希望有人闖入並搗亂課堂。

不過，這方面很難說是“保安漏洞”，例如你自願把銀行卡連同密碼放在公共地方，然後有人因此偷了你的錢，這就不是資訊保安出現漏洞所致，而是用戶對重要資料保護不周所致。

不過，Zoom已對Zoom Bombing問題作出對策，在新版本的Zoom當中，用戶可為會議設置“等候室”。若有任何人想加入會議，都必須通過會議主持人的允許才可入室，以解決大部分Zoom Bombing問題。但此措施卻也造成了另一個問題，就是需要人手去核准用戶加入。

■等候室未入室者都可接收視訊

根據最早探討Zoom安全問題的論文之一，加拿大多倫多大學的“The Citizen Lab”文章曾提及，Zoom等候室存在一個保安疑慮。而在其後的新文章裡面，作者也詳細介紹新參加者在等候室等候批核時，Zoom會在背後連接會議，並接收會議的畫面（但聲音並未接收），只是在等候者的電腦畫面前看不見。文章指在等候室並未得到核准入室的用戶，有可能釋出接收的視訊內容。而Zoom則向“The Citizen Lab”指稱，有關漏洞已在最新版Zoom獲得解決。

■安裝包內含挖礦插件

Zoom除了自身的資安疑慮，更有其他黑客對其虎視耽耽。網絡上有不少Zoom安裝程式已被黑客植入挖礦插件，當用戶不慎安裝這些Zoom程式後，其附帶的挖礦插件就會被植入用戶的電腦。

不過，此問題並非只發生在Zoom軟件安裝過程，因網絡上有名的軟件都有可能被植入有害插件。有黑客甚至破解軟件開發者官網，植入內置有害插件的安裝包。近來發生的Zoom挖礦問題，都非來自於官方網站。用戶有責任從官方網站下載安裝程式，而勿使用網絡上一些網站或討論區所轉載的安裝包。

■資料被傳送往中國

近日有外媒發現，部份Zoom用戶會被連接到Zoom中國伺服器，即使會議中所有用戶都並非中國用戶。不少用戶就擔心資料會因此“被外洩”。中國現行法規規定，所有位於中國的伺服器，其資料都需存放在中國。Zoom這個情況就有機會令到用戶資料被傳送並被存放在中國伺服器裡，而且用戶會擔心該伺服器並非以AES-256方式加密，而是以規格較低的 AES-128方式加密。

對此，Zoom解釋說，在一般情況下，用戶都會連接到所屬地區例如歐美的伺服器，但由於現時太多人同時使用Zoom服務，以致其流量不勝負荷，令Zoom被迫選擇連接其他伺服器，而剛好Zoom又把中國的伺服器加入白名單，以致出現歐美用戶連接中國伺服器的情況。

在事件曝光後，Zoom發表付費用戶新功能，就是用戶可自行選擇服務連接的伺服器，在這種情況下就能避免用戶在毫無預警之下被連接到中國伺服器。但免費版的用戶卻仍有機會被連接到Zoom中國伺服器。

■資料傳送被發現只以AES-128方式加密

Zoom曾在宣傳頁面中介紹他們以AES-256加密標準為數據加密。但加拿大多倫多大學的研究就發現，由Zoom伺服器傳輸出來的數據，其加密強度只有與AES-128標準相近，這與Zoom聲稱的AES-256相距甚遠。而在加密強度較差的情況下，用戶資料有機會被黑客攔截後，直接被破解。

■Zoom擁有加密密鑰

同加密方式相同，Zoom對外宣稱用戶之間的對話採用了End to End端對端加密，照常理Zoom不應持有加密密鑰（密鑰可用作解密之用）。但根據報告，Zoom竟掌有密鑰，這難免令人擔心如果政府機構要求Zoom交出對話資料，Zoom有可能將完整的對話內容交給政府機構，而此問題也令連接中國伺服器的問題再加大數倍。

對 ，Zoom解釋說，在4月發佈的一篇官方文章指出，所有Zoom會議都需要用戶與Zoom伺服器作出連接。這意味着，所謂的端對端加密，只是在用戶與Zoom伺服器之間作出，而並非在用戶與用戶之間作選擇。

以上提及的各種資安疑慮，部分屬於用戶責任，例如有用戶向其他人洩漏密碼，並不能全部怪罪於軟件開發商。若有用戶下載到有挖礦插件的安裝包，也是因為有關用戶不在官網下載有關軟件所致。

不過，基於Zoom本身實在擁有太多“不該發生”的漏洞，例如未入室的人士在等候室都可接收視訊訊息、驗證電郵的系統只要copy and paste一段內容就能順利通過等，以致用戶開始對它失去信心。加上Zoom與中國千絲萬縷的關係，Zoom自身也無法解釋，這方面只可以說“信者恆信，不信者恆不信”。