Zoom 为全球最大的视频会议平台,近年来虽已采取措施加强安全,但重视隐私的记者在使用 Zoom 时仍应保持谨慎。无国界记者(RSF)邀请资安专家 Bence Kócsi 就视频会议安全撰写系列文章,第二章将说明 Zoom 在使用上需要注意哪些风险,还有记者应采取的安全措施。
Zoom 在 COVID-19 疫情初期迅速走红,当时实体会面对记者来说常有太贵、耗时或不安全的问题,Zoom 便成了方便好用的替代方案。然而 Zoom 在骇客眼中也是非常值得攻击的目标,而且平台过去在资料处理上有过各种令人担心的纪录。如果记者要在 Zoom 上面讨论敏感信息、和联络人视频、匿名作业,就得采取措施保护隐私。
Zoom 使用上的风险
- “Zoom 乱入轰炸”(Zoom-bombing)可能会干扰会议。这是一种未受邀者乱入 Zoom 会议的恶作剧,他们大多时候是为了捣乱、搞事,但也有些来者不善。这些不速之客可能找到某个会议连结、猜中或破解密码,然后混进会议。过去曾有政府闭门会议和媒体内部员工会议因此遭到潜入。
Zoom 在资料处理上有过各种令人担心的纪录。Zoom 因在未告知使用者的情况下将资料分享给 Facebook、LinkedIn 和 Google,2021年同意支付8,600万美元,达成集体诉讼和解。一名支持中国政府的 Zoom 员工在2020年成功监控、中断纪念天安门屠杀的会议。 - Zoom 曾向中国政府提供使用者资料。2020年有报导指出 Zoom 经中国伺服器传输美国使用者资料。 FBI 发现 Zoom 曾同意提供使用者资料的 “特殊存取权”给中国政府,其中包括会议的加密金钥。
- 分享画面可能会造成其他内容外泄。Zoom 曾在2021年出现漏洞:与会者分享单一视窗的画面时,平台会短暂显示使用者整个电脑萤幕的画面。
Zoom 内建的安全功能
- 端到端加密(E2EE)。Zoom 会议预设部分加密,但若要让 Zoom 本身无法看到会议内容,使用者必须在设定启用 E2EE。
- 密码保护。开启密码保护功能后,与会者除了要有会议连结之外,还必须输入密码才能参加会议。
- 虚拟等候室。主持人可先在等候室手动确认参加者身分,再让他们进入会议。
- 锁定会议。这项功能可将新参加者拒于门外,或将会议设定为受邀帐号才能参加。
- 举报功能和主持人权限。这些功能让主持人可以暂停聊天、将捣乱的与会者静音甚至移除。
Zoom 使用上的建议
- 务必设定密码并启用虚拟等候室。这样主持人可以先确认与会者身分,再让他们进入会议。
- 分享画面前先把桌面整理干净。关闭所有敏感或私人内容,以防其他视窗不小心被看到。
- 讨论敏感信息时启用端到端加密。确认所有与会者都看到相同的安全编号再继续进行会议。
- 会议录影存档后重新命名。因为如果沿用 Zoom 自动命名的档名,一旦骇客破解储存位置,将能轻易搜寻到档案。
- 定期更新 Zoom。由于 Zoom 很受欢迎,对间谍和收集资料的单位来说很有价值,所以平台不断推出安全更新与漏洞修补,时时保持在最新版本是最能确保安全的方法。
← 阅读第一章:常见的安全风险
→ 阅读第三章:Google Meet
Bence Kócsi 为资深自由编辑、作家、研究员,主要研究领域为信息安全、科技、历史语言学、政治、医学。