Zoom承認視頻會議並沒有真正「端到端」加密,消費者還該繼續使用嗎?
很多用戶都以為視頻會議軟體Zoom,徹頭徹尾實踐了「端到端加密」(End-to-end encryption,E2EE)功能,確保線上會議內容安全無虞。但是,根據外媒深入研究後發現,Zoom並沒有真正使用外界認為的「端到端加密」,造成了極大的隱私安全風險。
根據海外媒體The Intercept報道,Zoom在官方網站與安全性白皮書中所稱「視頻會議皆採用端到端加密」的說法,與實際情況並不相符。The Intercept進一步求證Zoom發言人後,他們承認當前的Zoom視頻會議功能,的確無法激活真正的端到端加密。
既然如此,Zoom所稱的「端到端加密」又是怎麼回事呢?確實,Zoom上的所有連接都通過了TLS進行加密傳輸,這與網頁瀏覽器用來保護HTTPS網站的標準相同。這表示,用戶到Zoom伺服器間的通信,的確具備著加密保護,就如同訪問Gmail或Facebook一樣。
但是,通常我們理解「端到端加密」時,指的都是「客戶端」到「客戶端」間的E2EE,例如Signal或WhatsApp這類通信軟體,皆有實踐嚴格的端到端加密,服務提供者無法從加密連接中,獲得任何的訪問許可權。但是,Zoom的情況卻與外界認知的有不小落差。
目前Zoom所採行的端到端加密為「兩段式」,即「客戶端」到「伺服器」具備E2EE,而「伺服器」到「客戶端」是另一段E2EE,Zoom本身並沒有提供「客戶端」到「客戶端」的一段式加密,這使得他們所聲稱的「端到端加密」極具誤導性,也代表Zoom可能有辦法訪問伺服器上的信息,形成了隱私安全漏洞。
對此Zoom向The Intercept表示,他們的「端到端加密」說法並沒有刻意誤導用戶,在Zoom所有支持文件中,只要提到「End to End」都是指Zoom端點到Zoom端點之間的加密連接,即便中途通過伺服器,內容也不會在雲計算遭到解密。
詭異的是,Zoom內置的文本聊天功能,確實具備嚴格的端到端加密功能,Zoom官方也指出,他們沒有解密這些消息的特定密鑰。
Zoom也特彆強調,公司會通過軟體收集部分的用戶資料,包含IP位置、操作系統與硬體詳細信息,但僅會用於改善軟體使用體驗,並在用戶同意的狀況下進行,不會出售或分享給第三方,Zoom內部員工更不可能訪問特定的會議內容。
過去,曾有媒體爆出Zoom泄露了上千個電子郵件地址與圖片給陌生用戶,甚至允許進行視頻對話,還有讓Mac用戶點擊到惡意網站時,通過Zoom啟動視頻攝影機,以及最近的發送資料給Facebook事件等,都讓Zoom的安全性得到不少質疑。
企業或個人用戶到底該不該繼續使用Zoom呢?只能說我們並不是沒有其他替代選擇,例如微軟的Teams就擁有視頻會議功能,要拿FaceTime或WhatsApp來開會也並非不可以,如果你真的很擔心Zoom的安全性風險,不妨現在起就改用其他App吧!
來源:The Verge、TechCrunch
