Zoom 雖有安全缺陷 但如報導說咁嚴重嗎?

報章大肆報道,背後有一個可能性,是它的股價太高。報道中多倫多大學公民研究室指出的Zoom的安全漏洞,並非安全重大漏洞,只係想糾正Zoom一些不足之處。個人覺得媒體報道安全漏洞有點兒乘風作樂。

對於普通用家,這篇文章未必適合你的需要,坊間有一些關於Zoom應用程式保安設定及使用建議的懶人包,可以這裏下載

undefined

Zoom被指會向中國發送加密訊息?

真的嗎?報紙這樣寫,普通(沒有技術背景)的讀者了解真相?例如,Zoom Communication 的 CEO 在4月3日在他的官網回應了有關他們的保安風險這個研究,有關會議加密及數據中心地理地理圍欄等核心問題。Zoom有中國大陸數據中心(其中包括基礎設施),Zoom的用戶這三個月急增超過100倍,Zoom原本主要提供服務給他企業客戶,原本的措施沒有預期應付今次疫情,為了成為一個企業良好公民,將Zoom免費給全球各地的中小學服務,因此他們錯誤地將中國境外的用戶數據派左去中國的數據中心。當然這絕對是失誤,但全世界嘅數據中心,Cloud Compuing已經冇分地域限制,不是美國就是中國的雲端上面。

Zoom總部位於美國,在納斯達克上市,主線Zoom應用是由它在中國的三家公司開發,這三家公司是Zoom所有。

研究報告是針對主要發現這三個風險:

  1. 自定義加密
  2. 中國服務器
  3. 安全問題

然而,幾個提到的安全風險,到底是否真的和報章報道所述這麼高風險嗎?

1. 我們永遠也不會擁有COMPLETE隱私:關於點對點加密(end-to-end encryption)技術 (E2EE)

所提到的一個主要漏洞,就是客戶端的內容都是點對點加密  (除了一種情況 non-Zoom client)。端到端加密可確保只有您和您與之通信的人可以讀取發送的內容,而中間的任何人都不會,最重要是研究報告似乎沒有好準確解釋 Zoom有任何 mechanism 容許他們或者第三方閱讀會議內容。個研究報告只係提出加密協議沒有使用標準的TLS (Transport Layer Security,譯名:傳輸層安全性,之前叫SSL 英文:Secure Sockets Layer)。

根據Zoom 的公開文件,他們使用AES加密,AES是對稱密鑰 (symmetric key) 加密密碼(用於加密數據的同一密鑰用於解密它)。這的確實產生了一個問題?Zoom 如果擁有這些密鑰,就意味着可以解密客戶的會議內容嗎?

非對稱加密(asymmetric encryption)系統通過使用公開密鑰來保護數據,的確解決了這個問題,該公開密鑰可供所有人使用。只有擁有正確私鑰的預期收件人才能解密它。RSA加密就是一個很好的例子,它用於保護連接到HTTPS安全網站時所需的TLS密鑰交換。比AES這樣的對稱加密時(例如,批量加密大量視像數據上)的安全性要好。用AES是因為AES需要更少的計算能力,對稱密碼通常被引用為比非對稱密碼“快1000倍”。然而AES加密密鑰是在Zoom的server,理論上,他的確可以解密,或更準確地說,與加密密鑰的安全性和系統的整體安全性中的最小值一樣安全。它僅取決於您面對的威脅,沒有通用答案。

我這篇文章,所提到的保安風險,如果你不是恐怖分子,不需要合法隱藏什麼東西,你在互聯網上的東西,所有社交平台上的資訊 (eg. whatsapp, facebook, Instagram, Zoom, Google classroom, etc.) 我們把內容backup在server的一刻,該公司得到授權人士,一定有decryption key,隨時可看。個人私穩就如佛教《金剛經》裡面的 “一切有為法,皆屬虛妄,應作如是觀"。 一是完全不要用 (不大可能), 一是都豁出去吧。

從某角度來看,如果美國政府認為AES是保護其“安全”數據的最佳方式,那麼誰在爭論呢?

2. 會議加密 AES 是128 而不非256 ?

事實上,如果是AES-128 其實並不是如報章說成怎麼樣重大風險,Zoom的密鑰是符合廣泛使用的高級加密標準(AES),不過可能由於要提供Zoom咁嘅質素嘅視像通訊要求,他們在加密法的演算法的而且確做一些取捨。

研究報告中所指的 AES-128 ECB,不是256位元的加密(只基於他們的講法,沒有Fact Check過),256位加密比128位要強得多256位加密提供了更高級別的保護。每個數據塊需要執行的AES加密次數,例如128位需要10輪,而256位加密需要14輪。

但AES 128仍然安全嗎?正確加密後,無論128或者256 ,AES本身都是堅不可摧的。對於視像內容,AES – 128在可預見的將來提供了足夠有餘的加密。128位AES加密可以破解嗎?2017年,全球最快的超級計算機是中國的Sunway TaihuLight,該超級計算機的峰值速度為93.02 petaflops,仍然需要大約885萬億年才能強行使用128位AES密鑰。128位AES加密理論上可以破解,但現實中是不可能做到

Zoom 在他們的網站介紹他們的加密技術,描述是256-bit TLS (業界的加密技術其中一個最高標準)
Zoom 的加密協議中針對視訊(左面)以及音訊(右邊)的加密方式(編者按:然而在根據Zoom的Ask Eric Everything最新回應,使用的加密技術不是該研究指出的AES-128-ECB,而是AES-256 ECB)

那麼,為什麼要使用比AES-128還要多的呢?

所有這些都引出了一個問題:破解AES-128是需要比宇宙時代更長的時間,為什麼還要使用AES-128或AES-256?如Schneier(國際知名的安全技術專家)所述:

“我建議人們不要使用AES-256。AES-128在可預見的將來提供了足夠的安全餘量。但是,如果您已經在使用AES-256,則沒有理由進行更改。”

之不過,該大學研究(University of Toronto’s Citizen Lab)將Zoom技術錯誤說AES-128-ECB ,是一次重大失誤(在2020年4月8日集團CEO的Blog回應,Zoom所用加密技術是AES-256-ECB)。然而就算 AES-128 在加密來說其實也不算不夠 (provides more than enough security margin actually)。 Zoom的加密總比沒有加密要好得多,報章報道純粹提出針對他們的Zoom會議是否受間諜活動影響的可能性。

AES加密算法中五種模式,並不是那一種優勝過那一種,而用在不同的情況,各有優劣 (credit : http://www.highgo.ca)

3. Zoom 是一家有"中國心臟"的美國公司?

這個講法,要有商榷餘地,現時全球的軟件開發公司包括 HP, IBM, SAP 到底還有多少是「本土」出品? 到底怎樣是一間中國心臟公司?若然軟件的編程或者有部份編程序在中國進行,這樣說成是一間「中國心臟」公司,這個說法到妥不妥?(還有待傳媒再提出更充足觀點)

4. Zoom 使用中國服務器?

zoom 解釋這個是Geo-fencing issue,他們承認錯誤地將我們的兩個中國數據中心添加到了備份白名單中,這可能使非中國客戶在極為有限的情況下(即,當主要的非中國服務器不可用時),連接到它們。

付費帳戶的客戶現在可以針對Zoom Meetings和Zoom Video的實時會議流量自定義其數據中心設置。自4月18日起,Zoom付費帳戶的帳戶可以在“ 帳戶設置”中選擇退出或進入特定的數據中心區域。

這張圖片的 alt 屬性值為空,它的檔案名稱為 image-4.png
香港的用戶,在Zoom的預設是美國亞馬遜雲端 (Amazon CloudFront)

5. 可疑的加密和加密密鑰發送到北京

為了確保整個過程滿足全天候和全球客戶的需求,Zoom當前在雲中維護這些系統的密鑰管理系統。Zoom 解說是因為“密鑰管理系統”的服務器,不是on-premises,而係雲端服務。對於那些希望自己管理解密和轉換過程,如果想要對其密鑰希望自己管理的人來說,今天用於Zoom整個會議基礎結構絕對並不最佳,但Zoom解決方案將於今年晚些時候,以允許企業客戶利用Zoom的雲基礎結構,但在其自己環境中託管密鑰管理系統。

2020年4月1日,Zoom發布了有關其加密做法的說明

6. Zoom 與 Facebook共享什麼數據?

Motherboard : Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account這篇報道,好容易聯想Facebook曾經將客戶資料和使用其功能的軟件公司共享,然而, Zoom與Facebook共享什麼資料? 於是懷疑有關數據出售或交易?

該問題的焦點之一是 Zoom 使用“Facebook登錄” 功能 (“Login with Facebook” feature),以便為用戶提供另一種便捷的方式來login Zoom的平台,它只是一種Facebook SDK(軟件開發工具包)。

那麼問題是「共享數據」,那要看看到底Zoom和Facebook分享什麼數據

Facebook SDK 收集對為 Zoom 提供服務而言不必要的設備信息。Facebook SDK收集的信息不包括與會議有關的信息和活動(例如與會者,姓名,便箋等),而是包括有關設備的信息,例如移動操作系統的類型和版本,設備時區,設備操作系統,設備型號和載體,屏幕尺寸,處理器核心和磁盤空間。 

如果係這樣,我們關心的可能係「到底需唔需要?」,而不是懷疑Zoom將你的私隱出賣給Facebook !應該和我們所想的嚴重性有多大分別!

跟住連續幾天,全世界新聞繼續追擊Zoom,報道 “Zoom 再爆醜聞 15,000 個會議影片被公開“,再報道"暗絡上已經共享了被盜的Zoom密碼和會議ID“,新聞來源的資訊網站PCM與Mashable 是一種靠賣消息維生的網站。這這種聳人聽聞的標題,只有一個目的,就是想增加網站流量,報道中是zoom的用戶帳戶資料泄露(估計是這些用戶中咗釣魚網站);以及另一篇報道中記者利用搜索引擎在 YouTube 和 Vimeo 找到多達 15,000 條影片 Zoom 的會議影片,認為使用 Zoom 的民眾不知道自己的帳戶資料或會議錄像竟然會被公開及分發,這是多麼駭人。

於是製造 Zoom 層出不窮的嚴重漏洞只會陸續有來的假象。然而,如果細心看這幾篇報道,我又好似覺得同zoom洩漏用戶資料沒什麼關係,但報道又偏偏冇探討原因,然後文章諉過zoom。

跟住網上嘅新聞,一篇抄一篇文章,謠言就係這樣傳播出去了。

「如果是這樣,Zoom好似唔係好安全?」這個是很多人所提出的疑問!

7. Zoombombing

加上,一般人所指的不安全事件,又和這篇報道應該差不多:

[星島日報] 報道宣道Zoom課堂遭入侵

我相信是視像會議軟件因為教學一切停頓中急速進行的情況下,大多數的學生和老師並未「成熟地」掌握技術好,因此出現這種稱為Zoombombing的現象。即其他未經授權的Zoom使用者不請自來,突然出現於別人的Zoom會議屏幕上,又如果會議鏈結被公開分享,用戶又沒有設置屏幕分享限制的話,其他人就能夠參加會議並分享屏幕。

這種情況其實在互聯網世界又出現太多,例如email phishing ,FB 的色情user request,whatsapp 收到匿名訊息、猜猜我是誰 ⋯等差不多。

我相信和Zoom技術本身的保安或多有小少關係,但給這些新聞主要是提醒我們電腦保安以及提防cyber criminal ,無論是否是Zoom用戶,沒有直接關係。

也可以看看新加坡要求老師暫停使用 Zoom的說法:

“As a precautionary measure, our teachers will suspend their use of Zoom until these security issues are ironed out,” said Mr Aaron Loh, divisional director of the Educational Technology Division at MOE.“

新加坡要求老師暫停使用 Zoom的建議作法,先宣布暫停使用,等到安全問題被解決,還是有可能被啟用。不過在台灣,Zoom 應該是已經被宣布死刑了,之後應該不可能再被啟用了。

馬來西亞教育部和新加坡立場一樣,也是提醒其風險或宣布停用,並沒有宣布死刑。

當報章大肆報道後,zoom 的確非常迅速回應用戶的要求,現在畫面下方有了一個[Security] 的符號,遇到不請自來,突然出現於別人的Zoom會議屏幕上,或者分享色情圖片或冒犯性內容的時候(Zoombombing)主持人可以迅速反應!

Zoom 產品更新:主持人的新安全工具欄圖標,以及不再顯示會議ID

事實上,指出Zoom的安全漏洞並非不公平或令人恐懼(這"評語“是發現Zoom漏洞的網站所提出),這是軟件將變得更好的方式。作為使用者不應該因為這些片面資訊,轉去選擇另一個軟件 (跌落lesser evil principle的錯誤)。至於應用程式工具的取捨,我相信還是以功能是否全面、是否安全、是否用戶友善,方唔方便為考慮因素

關於Zoombombing 的幾個建議

🔸Zoom強烈建議用戶對所有會議加設密碼。

🔸使用動態生成的會議ID(而不是固定的會議ID)

🔸使用 Waiting Room 功能

🔸用“共同主持人” (Co-Host),以便您可以分配其他人來幫助主持人

🔸禁用“主持人加入前先登入” (Join Before Host),這樣人們就不會在到達之前引起麻煩。

🔸不要在社交媒體上共享私人會議鏈接

🔸將最新的修補程序應用於終端設備的操作系統

🔸不要點擊來自非信任來源的Zoom會議邀請

🔸be safe, keep calm, and use Zoom

用戶可以參考Zoom 的一篇教學 “How to Keep Uninvited Guests Out of Your Zoom Event
[附圖] 嘗試 Waiting Room (等候室) :在公開會議活動中使用“Zoom”的最佳方法之一是啟用“ 等候室”功能。就像聽起來一樣,等候室是一個虛擬的房間區域,可阻止客人加入,直到為他們準備好為止。
這就像夜總會外面的天鵝絨一樣,讓您作為保鏢來仔細監視誰進入。會議主持人可以自定義“等候室”設置以進行其他控制,您甚至可以個性化用戶進入“候診室”時看到的消息
看看我們幾間大學對Zoom 可能存在的安全顧慮的回應,以上兩間大學的回應我個人看是相當中肯。

總結:Zoom不是不安全,只係這些安全漏洞提醒我們關注一些事情。

最後,Zoom 的特點是很容易使用!好處是,如果現在發現Zoom中的許多缺陷並很快修復,那麼Zoom會更好,更安全。但是,我相信無論我上面的分享有沒有用,仍有人認為zoom的創始人是中國人,Zoom 就變得不安全了!那麼面對這種主觀的意見,我唯一可以做,就是大可一笑置之。對於那些特別高風險的Zoom用戶,他們的討論常常牽涉高敏感議題(譬如英國內閣),會議內容可能成為其他國家刺探的目標,那麼他們應該開始尋找更安全的通訊方式是比較明智。

如果你有這個擔心,建議你還是在找尋業界其他的視訊會議配置 (除Zoom以外,視像會議軟件有不同選擇,包括 WebEx Net Conferencing、Skype for Business、Microsoft Teams, Meet、SmartCloud Meeting、Seegle Conference等)。

先不評論是否zoom有缺陷,從這Facebook的分享,可以看到身為一個資訊科技高層,可以如此評論事件!
我沒有聽聞大學因為Zoom的安全問題停止使用。至於我工作的專上學院,有提醒所有同事在進行Zoom在線會議和/或在線教學時應盡可能採取安全措施。

後記

前Facebook和Yahoo首席安全官Alex Stamos表示將與Zoom一起改善其安全性和隱私性。Stamos現在是斯坦福大學的兼職教授,在資訊安全社區中享有很高的聲譽。

Kim Zetter (一位曾三度被其新聞同行和安全專業人士選為美國十大安全新聞工作者之一) 在4月1日的Twitter上寫道:“ Zoom將很快成為目前最安全的會議工具。”

台大電機系教授葉丙成 : 任何軟體都有洞

「如果你有真正很機密的事情,我會勸你,別說 Zoom,其他的視訊軟體通通都不該用。那才是真正的安全!」

他還直言,在台灣,Zoom的資安問題,已經不是技術問題,而是政治問題。

總之,英國首相鮑里斯·約翰遜在內的政界人士倒是仍然使用Zoom進行會議

Zoom screenshot
英國政府為使用Zoom舉行內閣視頻會議。英國首相在Twitter上發布了一張可以看到會議ID的圖片後,人們對潛在的安全風險提出了疑問。政府發言人告訴英國廣播公司(BBC)新聞:“在當前史無前例的情況下,有效的溝通渠道至關重要,Zoom可以在不同政府部門使用的不同系統之間快速設置。”

報章大肆報道,背後有一個可能性,是他的股價太高! (這個留待你去解讀吧)

希望我的知識分享對大家有用 😊!

Reference:

  1. Key finding for the Confidentiality of Zoom Meetings – University of Toronto’s Citizen Lab
  2. The Facts Around Zoom and Encryption for Meetings/Webinars
  3. Zoom’s Response to Research From University of Toronto’s Citizen Lab 
  4. Zoom 具有安全缺陷。仍然可以使用
  5. How does AES encryption work?
  6. The difference in five modes in the AES encryption algorithm
  7. 台大電機系教授葉丙成【Zoom 好危險、好可怕?!】
  8. Zoom 隱私和安全性問題:到目前為止,所有這一切都是錯誤的

發表者:家鴻

過去工作多年,在專上學院當一個電腦系統分析員,公餘時間會多關注自己的興趣和生活,多關心身邊和朋友,努力進修健康飲食、營養及自然療法的知識。

Leave a Reply

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

%d 位部落客按了讚: