近期當紅視訊會議軟體Zoom爆發一連串資安漏洞,導致國內外許多政府單位與大型機構紛紛宣布禁用,也讓因疫情高度仰賴遠端辦公/教學軟體的用戶憂心不已。為了讓消費者安心,包括微軟、Google、台灣私有雲即時通訊企業龍頭互動資通、中華電信子公司是方電訊等業者近日陸續發表針對旗下產品的資安說明,強調使用上絕對安全無虞,盼藉此吸收更多用戶。
目前Zoom較知名的隱私漏洞包括:
1.多起有心人士加入視訊會議後騷擾與會者的「Zoomboom」惡作劇
2.會將用戶的開會影片、會議紀錄等資料傳到中國(即便用戶並不在中國)
3.重要的端對端加密技術僅適用於會議中的文字內容,不包括視訊與音訊
雖然Zoom已經宣布延攬臉書(Facebook)前安全長史塔莫斯(Alex Stamos)擔任顧問作為「救援投手」,又開放付費用戶可自由選擇要退出哪個區域的伺服器,甚至進一步封鎖該地區,確保重要資料不會被傳到指定區域。但免費用戶方面,Zoom只承諾除了中國用戶外,其他用戶的資料不會送到中國的伺服器,卻未說明台灣用戶究竟是隸屬於「中國用戶」或「其他國家用戶」,因此對台灣的免費用戶來說,資安問題依舊無解。
考量到用戶疑慮,同樣擁有遠端協作產品的業者們近日紛紛針對旗下產品提出資安說明:
Microsoft
Microsoft副總裁傑瑞德史塔巴羅(Jared Spataro)說明,在資安維護方面,Microsoft Teams符合逾90項規範標準及法規,所有的資料都會使用產業標準技術(像是TLS和SRTP)嚴格加密。
而當用戶進行視訊會議時,僅有主持人能決定誰能參與會議,並賦予參加者發表及錄影權限。會後,只有參與者能存取會議的錄影檔案,除非主持人授權給其他方存取錄影檔。
此外,Teams僅限企業內部人員使用,密碼由企業公布,還有定期更換機制,一般外人無法自行註冊混入冒充企業員工使用上述服務或盜取內部資料。
Google也在官方部落格發表貼文,說明Google Meet產品在資安上有哪些防護。
在視訊會議安全部分,基本密碼設定需10到25字,且開會前15分鐘即限制外部訪客加入,外部訪客必須經由成員邀請或主辦單位核准才能加入會議,且部分權限僅主持人擁有,這些措施都會提高駭客破解、入侵及惡搞會議的難度。
此外,Google有「資料存取透明化控管機制」,會記錄所有存取會議內容的 Google帳號及存取原因,用戶也可指定這些資料要儲存在哪個區域(例如美國或歐洲)。
互動資通
業者說明,旗下產品team+最大賣點之一即為「私有雲」,也就是用戶在使用軟體時,所有傳送的訊息檔案、視訊與音訊等,全部儲存在企業內部的專屬伺服器中,而非全球各區域的數據中心,可確保資料安全無虞。
業者指出,IDC(國際數據資訊公司)的全球調查報告也提到,49%的企業預計在兩年內將部署在公有雲上的應用程式搬回內部私有雲中,其中一項原因就是擔心資料外洩,另一個原因則是考量到長期租用公有雲所費不貲。
是方電訊
中華電信子公司是方電信以070網路電話聞名,也有提供雲端視訊會議服務。業者指出,使用該服務時,需先經過070系統兩層架構註冊,安全性比一般市面上匿名申請帳戶就可開通更高。
實際線上開會時,主持人可以設定參加者必須要有登入連結和密碼,一旦發現有外來者進入,可將該人直接移除,且此人無法再次進入會議。此外,主持人可以終止與會者的視訊及發言,也有權決定誰可以分享檔案或網頁內容。
雲端儲存方面,是方的合作對象為美國AWS(亞馬遜雲端運算服務平台),網路流量只會到美國AWS,視訊會議的錄影錄音存檔只會存在主持人的電腦上,不會流入中國
近日連續爆出的資安漏洞讓Zoom一夕之間由紅翻黑,為了避免更多客源流失,Zoom正努力加強資安控管,以微軟、Google為首的其他業者,則紛紛把握時機積極搶攻市場。目前全球還有許多企業尚未開放員工在家工作,但其中不少都已開始為遠距辦公進行規劃或演練,這些都是潛在客戶,Zoom、微軟與Google等品牌近期針對用戶資安及隱私的說明及處理方式,將成為這些客戶決定未來投向哪方的關鍵。
