所有的通讯软体都有安全漏洞,Google Meet 也不例外,记者必须谨慎使用。无国界记者(RSF)邀请数字安全安专家 Bence Kócsi 就视频会议安全撰写系列文章,第三章将说明 Google Meet 使用上的风险,以及相应的安全防护措施。
Google Meet 和其他谷歌产品(Gmail、谷歌行事历等)完美整合,使用方便,因而受到许多专业人士青睐。虽然很多人认为它的安全性不输 Zoom,甚至更胜于 Zoom,但别忘了Google Meet 由谷歌持有经营,而谷歌过去在资料收集和透明度方面曾有令人担忧的纪录。
Google Meet 使用上的风险
- 通常要有谷歌帐户才能使用。如果有人需要匿名,可能就需要为视频会议另创新帐户,才能避免出席纪录和个人帐户连结。由于谷歌未在中国营运,住在中国境内的联络人可能连开帐户都有困难。
- 会议无法设定密码保护。意即若有人非法进入他人的谷歌帐户,就能轻松加入会议。
- 会议预设并非完全加密。虽然第三方无法查看会议内容,但谷歌本身可以看到会议内容。
- 政府机关可能会命令谷歌交出使用者资料。若谷歌收到相关要求,任何谷歌可看见的使用者资料都可能被交给政府。
- 端到端加密(E2EE)仅适用部分功能。语音与视频讯息预设为完全加密,但会议若要启用 E2EE,必须使用 Meet Legacy Calls(前身为 Duo)。
- 谷歌拨入功能完全未加密。拨入与拨出会透过未加密的传统电话网络连接 Google Meet 和一般电话号码。
Google Meet 内建的安全功能
- 会议安全设定。这些设定可让主持人拒绝尚未核实身分者的加入请求、限制可加入和发言的人员,并阻止曾多次被拒的帐户持续发出加入请求。
- 谷歌帐户可提供额外的安全保护。虽然绑定谷歌帐户在有些情况下可能会造成不便,但有高度安全需求的会议可以设定为特定核准帐户才能参加,或只开放给有谷歌行事历连结的帐户加入,大幅降低不速之客进入会议的可能。
- 谷歌 未在中国营运。表示使用者资料不太可能被传送到中国政府可存取的伺服器。
Google Meet 使用上的建议
- 建立替代帐户。若记者和消息来源有匿名需求,或对 Google 处理资料的方式有所疑虑,应用替代帐户处理敏感信息的交流和会议规划。
- 尽量使用 Legacy Calls(Duo)。这种模式有端到端加密,Google 无法查看会议内容,自然无法把会议内容交给第三方或政府。
- 避免使用拨入与拨出功能。传统电话网络完全未加密,且容易被拦截。
← 阅读第一章:常见的安全风险
← 阅读第二章:Zoom
Bence Kócsi 为资深自由编辑、作家、研究员,主要研究领域为信息安全、科技、历史语言学、政治、医学。