Zoom修補保安漏洞 堵截黑客闖入會議

[**新科技速遞] [Zoom]**

Zoom的CEO袁征親自在公司網頁撰文，宣佈最新的軟件升級 ，加入會議密碼功能，以防黑客胡亂闖入（圖片來源：Zoom官方網站）

**新科技速遞**

世界各地疫情嚴峻， 大部份學生及員工留家學習工作，網上教學和視像會議的使用率，直線上升。 Zoom 的視像會議，用戶免費註冊，界面又操作容易，支援不同終端，可於手機、電腦、平板電腦， 甚至以不同瀏覽器直接開會，已成為近期受歡迎軟件之一。

據Zoom公佈，二十多國採用Zoom的教育機構，竟多達9萬家，每日與會人數；從去年底的1000萬人；今年三月份已飆升至2億。Zoom股價水漲船高，較去年升近百份之25。

近月Zoom的安全隱憂甚至事故，亦開始廣泛流傳；從會議遭黑客入侵、軟件受惡意程式攻擊、以至Zoom過度收集用戶私隱，有關報導如雨後春筍，傳媒不斷提醒用戶，以Zoom開會時，須加倍小心。

其中最矚目報導，可算是被稱為有組織性視像會議轟炸「Zoom Bombing」的黑客攻擊。事緣早期Zoom會議的賬號，其10位數字，只是隨機產生，任何人只要猜中賬號，就可隨意參加正舉行會議 ，有專用黑客軟件，自動搜尋網上的會議資料，以至連接方法等。

起初的報導，黑客只是亂猜賬號，再加入會議，搗亂正進行的Zoom會議，發佈不雅照片或粗言穢語，向參與視像會議成員亂發訊息。據《紐約時報》的報導，不少有網上聊天室或討論區，用戶有組織分享Zoom會議賬號，有系統地策劃種族或宗教攻擊，結果引來極大迴響，FBI甚至因此發出警告。

Zoom每日與會人數今年三月份已飆升至2億，保安漏洞一度導致股價急挫，李嘉誠旗下的維港投資亦是Zoom早期投資者之一。

Zoom的「Attention tracking」功能也惹來爭議，被指過度收集用戶資料。Attention Tracking滙報會議期間，與會者是否正使用其他軟件，未專注參與會議。其實不少Zoom用戶，甚至未有留意此功能，結果不少企業的員工，因此擔心會否遭誤解，獲管理層發給負面報告。另外亦有批評，指Zoom視像會議期間，會收集用家姓名、住址、電郵、IP地址、Facebook身份等，即使用家從未正式在Zoom網站上註冊。

雖然Zoom的用戶守則申明，用戶資料不會售賣予第三方，卻有權作商業用途， 甚至與其他公司分享。 三月底，Zoom 又被發現Apple MacBook的版本，出現重大漏洞；黑客可安裝惡意軟件，取得管理員權限。

Zoom自家開發加密程式，亦引來垢病，被批評易於破解。一連串的問題，已引起不少關注，如Elon Mask的Space X，近日宣佈禁止員工使用Zoom。

面對批評排山倒海， 4月1日Zoom的CEO袁征親自在公司網頁撰文，宣佈最新軟件升級 ，加入會議密碼功能，以防黑客破解闖入，會議召集人或管理員可即時批核用戶的身份，並批准或禁止成員參加會議，也停止了Attention tracking 功能。

未來90天， Zoom停止開發新功能，專心修正軟件漏洞。筆者了解香港不少教育團體，正使用Zoom讓學生網上繼續學業。儘管說學界的IT資源有限，亦不要掉以輕心；盡快更新最新版本，留意香港電腦保安事故協調中心（HKCERT）網頁，已刋登了Zoom安全指引，遵從專家意見，保障網上學習。

作者：梁定康（Andy Leung）網絡保安工程師，向電信商及企業提供網絡保安設計方案。