Zoom修補保安漏洞 堵截黑客闖入會議
Table Of Contents
[**新科技速遞] [Zoom]**
Zoom的CEO袁征親自在公司網頁撰文,宣佈最新的軟件升級 ,加入會議密碼功能,以防黑客胡亂闖入(圖片來源:Zoom官方網站)
**新科技速遞**
世界各地疫情嚴峻, 大部份學生及員工留家學習工作,網上教學和視像會議的使用率,直線上升。 Zoom 的視像會議,用戶免費註冊,界面又操作容易,支援不同終端,可於手機、電腦、平板電腦, 甚至以不同瀏覽器直接開會,已成為近期受歡迎軟件之一。
據Zoom公佈,二十多國採用Zoom的教育機構,竟多達9萬家,每日與會人數;從去年底的1000萬人;今年三月份已飆升至2億。Zoom股價水漲船高,較去年升近百份之25。
近月Zoom的安全隱憂甚至事故,亦開始廣泛流傳;從會議遭黑客入侵、軟件受惡意程式攻擊、以至Zoom過度收集用戶私隱,有關報導如雨後春筍,傳媒不斷提醒用戶,以Zoom開會時,須加倍小心。
其中最矚目報導,可算是被稱為有組織性視像會議轟炸「Zoom Bombing」的黑客攻擊。事緣早期Zoom會議的賬號,其10位數字,只是隨機產生,任何人只要猜中賬號,就可隨意參加正舉行會議 ,有專用黑客軟件,自動搜尋網上的會議資料,以至連接方法等。
起初的報導,黑客只是亂猜賬號,再加入會議,搗亂正進行的Zoom會議,發佈不雅照片或粗言穢語,向參與視像會議成員亂發訊息。據《紐約時報》的報導,不少有網上聊天室或討論區,用戶有組織分享Zoom會議賬號,有系統地策劃種族或宗教攻擊,結果引來極大迴響,FBI甚至因此發出警告。
Zoom每日與會人數今年三月份已飆升至2億,保安漏洞一度導致股價急挫,李嘉誠旗下的維港投資亦是Zoom早期投資者之一。
Zoom的「Attention tracking」功能也惹來爭議,被指過度收集用戶資料。Attention Tracking滙報會議期間,與會者是否正使用其他軟件,未專注參與會議。其實不少Zoom用戶,甚至未有留意此功能,結果不少企業的員工,因此擔心會否遭誤解,獲管理層發給負面報告。另外亦有批評,指Zoom視像會議期間,會收集用家姓名、住址、電郵、IP地址、Facebook身份等,即使用家從未正式在Zoom網站上註冊。
雖然Zoom的用戶守則申明,用戶資料不會售賣予第三方,卻有權作商業用途, 甚至與其他公司分享。 三月底,Zoom 又被發現Apple MacBook的版本,出現重大漏洞;黑客可安裝惡意軟件,取得管理員權限。
Zoom自家開發加密程式,亦引來垢病,被批評易於破解。一連串的問題,已引起不少關注,如Elon Mask的Space X,近日宣佈禁止員工使用Zoom。
面對批評排山倒海, 4月1日Zoom的CEO袁征親自在公司網頁撰文,宣佈最新軟件升級 ,加入會議密碼功能,以防黑客破解闖入,會議召集人或管理員可即時批核用戶的身份,並批准或禁止成員參加會議,也停止了Attention tracking 功能。
未來90天, Zoom停止開發新功能,專心修正軟件漏洞。筆者了解香港不少教育團體,正使用Zoom讓學生網上繼續學業。儘管說學界的IT資源有限,亦不要掉以輕心;盡快更新最新版本,留意香港電腦保安事故協調中心(HKCERT)網頁,已刋登了Zoom安全指引,遵從專家意見,保障網上學習。
作者:梁定康(Andy Leung)網絡保安工程師,向電信商及企業提供網絡保安設計方案。
