Categories
熱門新聞

Zoom創始人公開道歉承諾修補安全漏洞 – BBC News 中文


A computer screen with four faces on it圖片版權
Zoom

在全球用戶提出批評後,通訊軟體Zoom宣布暫停任何新功能的開發,以專注於安全和隱私問題。

這個視頻會議應用程序的首席執行官袁征(Eric Yuan) 在博客中對安全問題“無法達到標準”致歉,並承諾將解決這些問題。

他說,在冠狀病毒大流行之前,他沒有預測到Zoom的使用者會以前所未有的方式暴增。

一位安全專家說,他希望這家公司文化會因此改變。

由於在許多國家都因為病毒關閉邊界,Zoom現已被數百萬人用於工作和休閒上。

袁征坦承Zoom的使用者是一夜之間暴增。他說:截至2019年12月底,包含免費和付費的使用者,Zoom虛擬會議人數最多的一日使用者曾經達1000萬人。但今年3月,我們曾有一天超過2億使用者的紀錄。

他承認,儘管公司“整日不間斷工作”以支持湧入的新用戶,但該服務“仍未達到對使用社群(以及我們自己)對隱私和安全性之期望”。

“為此,我深感抱歉。”袁征寫道。他解釋,“我們當初設計產品時,並未預設在短短幾週內,全世界每個人都會突然在家工作,學習和社交。”

我們現在擁有廣泛的用戶群體,以各種意想不到的方式使用我們的產品,從而給我們帶來了設計這個產品時沒有想到的各種挑戰,” 袁征補充。

Zoom因一連串隱私問題遭致批評,包括將用戶數據發送到Facebook,錯誤地聲稱該應用程序具有“端到端加密”以及允許虛擬會議主持人追踪到參與會者的資料(譬如IP等)。

圖片版權
Zoom

Image caption

創始人袁征坦承Zoom的使用者是一夜之間暴增。

前國家安全局(NSA)駭客沃德(Patrick Wardle)發現了Zoom的一系列問題,其中包括一個資訊安全漏洞,該漏洞讓使用蘋果電腦(Mac)的用戶,在使用該軟體時,電腦網絡攝像頭和麥克風更容易被駭客入侵。網路安全顧問格雷厄姆·克魯利(Graham Cluley)稱,Zoom現在面臨“危機”。

“由於Zoom對處理安全和隱私問題不夠完善的態度已經傳開了,它有可能失去已經累積的眾多好感。” 他說。

他又表示Zoom正在解決一些“嚴重的漏洞”,並認識到有必要將重點放在資訊安全上,而不是繼續“製造麻煩”。

他補充說:“我們希望該公司文化會因為這次事件,一改之前的‘快速和輕鬆’的態度。”

“Zoom轟炸”

Zoom開始擁有海量使用者,也創造了一種新的“ zoombombing” (zoom 轟炸)現象。

這種現像是指不被邀請的不速之客突然加入視頻會議,通常不是大聲叫囂,就是分享色情內容或發表種族主義言論。

惡作劇者可以通過社交媒體平台或網站上公開共享的視訊會議鏈接,找到視訊會議的詳細信息。或者在某些情況下,只需猜測九位數的ID碼即可找到會議的細節。

但是,如果這些會議使用保護過的會議密碼,或不允許主持人以外的任何人進行分享視頻,就可以防止攻擊。

袁征於2011年在美國創立了Zoom,他說現在該公司為解決安全疑慮而採取的步驟如下:

  • 對加密方法進行說明
  • 刪除從iOS應用到臉書的共享代碼
  • 發布與Mac相關問題的修復程序
  • 刪除與領英網站(LinkedIn)之連接,以防止不必要的數據洩露
  • 發佈如何避免成為“zoom轟炸”受害者的說明

在接下來的90天內,該公司又計劃:

  • 暫時凍結新功能開發,以專注於安全和隱私
  • 與獨立專家進行審查,以了解新客戶所需的新安全功能
  • 編寫有關數據請求的透明度報告
  • 擴大其“漏洞賞金”計劃
  • 每週舉行一次網絡研討會,以提供隱私和資訊安全更新

趨勢科技( Trend Micro)資訊安全研究部門副總裁弗格森(Rik Ferguson)對該公司所做的更改表示歡迎。他說:“所有的問題都被提到了:從配置和寬鬆的程式預設裝置,軟件漏洞,公司策略和產品路線圖的決定,這些在Zoom的博客文章中都痛苦的披露。”

“大家應該對一個公司感到同情:Zoom是在疫情大流行期間率先提供免費服務的組織之一,然後發現自己不僅是決策不力的受害者,而且是自身產品成功的受害者。”

高風險

英國一直有關於政府是否應使用Zoom召開內閣會議的辯論。

政府證明其在“前所未有的時期”使用Zoom是合理的,因為當時一些政府官員是在家自我隔離,而在家中無法獲得更安全的技術支援。

但是,當英國首相約翰遜(Boris Johnson)發了一張推文,其中照片披露他最近一次會議的會應認證編號時,關於Zoom安全性的辯論就愈演愈烈。

另外,根據報導,出於安全考慮,馬斯克(Elon Musk)旗下的SpaceX公司已經禁止用Zoom召開會議。美國太空總署(NASA)是Space X的最大客戶之一,也同樣禁止員工在工作上使用Zoom。

克魯利解釋,任何使用Zoom進行敏感對話的人都必須小心。

“解決這些問題將需要時間。而且,對於那些特別高風險的Zoom用戶,他們的討論常常牽涉高敏感議題。這些用戶(譬如英國內閣)也可能成為其他國家發起網路攻擊的目標。因此,現在開始尋找更安全的通訊方式是比較明智的做法。”

.