Zoom爆資安疑慮 疑將加密訊息內容直送中國?

  391
ZOOM 創始人袁征(Eric S. Yuan)(圖/ 美聯社)

ZOOM 創始人袁征(Eric S. Yuan)(圖/ 美聯社)

(台灣英文新聞/ 科技組 綜合報導)近來因武漢肺炎疫情影響,許多企業啟動營運持續機制,包含「遠端會議」、「在家上班」或「分區工作」等。而其中使用網路進行遠端會議,如ZOOM、MS Teams等APP與軟體的應用,更成為串連企業能持續營運的關鍵元件。

KPMG安侯企管公司執行副總經理謝昀澤表示,網路遠端會議系統應用,將是企業能減少群聚感染風險,但又能維持內外溝通力的利器,但安全的佈署,和超前佈署工具應用,一樣很重要。

謝昀澤表示,日前ZOOM因多項系統漏洞,而引發可能外洩使用者帳密丶隱私,甚至疑似回傳加密金鑰到中國等事件,非常值得關注。

再加上日前英國首相強生於網路上推文發表其與英國政府閣員的遠距會議照片,曝光了詳細的會議代碼及閣員ZOOM ID,都引起了資安極大疑慮。

雖然ZOOM已經開始著手進行修補方案,但目前為止仍未完全解決,所有工具的使用者都要提高警覺。

謝昀澤進一步說明,企業使用遠端會議系統,不應該即裝即用,首先要依據遠端會議內容進行分級,例如區分為「普通」、「敏感」及「機密」拿不同等級。除了讓與會者了解本次會議機密等級外,更能避免自己的遠端會議內容,因缺乏安全性保護在網際網路上赤裸呈現。

其次必須考慮遠端會議系統的資安防護技術,KPMG安侯企管公司資安實驗室主管林大馗副總經理表示,透過四要三不的技術管控機制,能讓網路遠端會議更放心,包括四要,「要」啟用密碼限制參與人員,必要時更可啟用多因子認證 (Multi-factor authentication),「要」啟用點對點加密(End-to-End Encryption, E2EE)會議內容,避免遭有心人士側錄,「要」辨識所有參與會議人員,包含匿名加入者(Anonymous)、一般使用者 (Generic user)等難以辨別之人員名稱,以及「要」隨時將遠端會議軟體維持在最新版本 (Latest version),避免漏洞未被更新。

三不,包括「不」重複使用相同進入碼(passcode)及會議室編號 (Meeting ID),「不」使用不明免費無線網路資源進入遠端會議,「不」隨意啟用會議內容錄影、儲存會議資料功能等。

謝昀澤也提醒企業,必須認知網路遠端會議與一般網路直播,雖然同樣使用網路平台,但本質上卻有極大不同。網路直播講求頻寬穩定、參與者眾、分享傳播、及點讚回饋。而企業的網路會議,則必須要完整顧及參與者身分確認、網路傳輸加密、溝通效率,及不得任意分享等事項,避免因遠端工作造成更多的風險議題。