Zoom中国服务器发密钥 酿安全风险

【新唐人北京时间2020年04月08日讯】最近爆红的“网络会议”软件Zoom,被爆出多个安全漏洞。该公司承诺改善,但研究机构指出,Zoom的企业架构决定了,它可能被迫向中共交出密钥。

疫情下,全球多国开启居家办公和教学,让网络视频会议软件Zoom一夕爆红,单日活跃用户从去年12月的1000万,暴增到今年3月份每天2亿人,甚至英国内阁、富时100董事会等敏感用户,也曾用Zoom召开视频会议。但骇客也趁虚而入,让Zoom一连串的隐私和安全问题浮出水面,包括:

1、将用户数据私自发送给Facebook
2、错误声称视讯通话施行了“端到端”加密
3、允许会议主持人追踪与会者的IP地址等资料
4、存在安全漏洞,使骇客可以轻易获得苹果电脑Zoom用户的麦克风、摄像头使用权;
5、另一个系统漏洞,让骇客可以轻易窃取Windows用户的登陆凭据;
6、攻击者可利用漏洞,入侵没有密码保护的线上会议,扰乱会议或用恶意图片骚扰他人;
7、多个安全团队证实,可用自动化工具猜测Zoom会议的ID,并收集会议信息;

Zoom公司的创办人及执行长袁征回应,已修补相关漏洞,并承诺将不断提升安全性。

但仍有不少安全专家存在疑虑。

加拿大多伦多大学公民实验室4月3日发表研究指出,Zoom使用了自行设计的加密方案,而不是标准的加密方式;另外,即使主要用户在北美,但Zoom却通过位于中国的服务器,来分发部分加密会议的密钥;考虑到Zoom可能有法律义务向中共当局披露这些密钥,将导致潜在的安全风险

报告还指出,Zoom总部位于美国加州,但主要研发工作由它在中国大陆的三家公司完成,这种安排可能让Zoom受到来自中共当局的压力。

网路安全顾问格雷厄姆·克鲁利表示,使用Zoom进行敏感对话需特别小心,因为可能成为其他国家发起网络攻击的目标。

目前,全球多国政府或企业已停用Zoom,包括美国太空总署、英国国防部、台湾政府与学校、纽约学校等。

安全专家推荐的替代软件包括,微软Microsoft Teams、谷歌环聊等。

新唐人记者林澜纽约报导

相关文章
评论