Zoom 為全球最大的視訊會議平台,近年來雖已採取措施加強安全,但重視隱私的記者在使用 Zoom 時仍應保持謹慎。無國界記者(RSF)邀請資安專家 Bence Kócsi 就視訊會議安全撰寫系列文章,第二章將說明 Zoom 在使用上需要注意哪些風險,還有記者應採取的安全措施。
Zoom 在 COVID-19 疫情初期迅速走紅,當時實體會面對記者來說常有太貴、耗時或不安全的問題,Zoom 便成了方便好用的替代方案。然而Zoom在駭客眼中也是非常值得攻擊的目標,而且平台過去在資料處理上有過各種令人擔心的紀錄。如果記者要在 Zoom 上面討論敏感資訊、和聯絡人視訊、匿名作業,就得採取措施保護隱私。
Zoom 使用上的風險
- 「 Zoom 亂入轟炸」(Zoom-bombing)可能會干擾會議。這是一種未受邀者亂入 Zoom 會議的惡作劇,他們大多時候是為了搗亂、搞事,但也有些來者不善。這些不速之客可能找到某個會議連結、猜中或破解密碼,然後混進會議。過去曾有政府閉門會議和媒體內部員工會議因此遭到潛入。
Zoom 在資料處理上有過各種令人擔心的紀錄。Zoom 因在未告知使用者的情況下將資料分享給 Facebook、LinkedIn 和 Google,2021年同意支付8,600萬美元,達成集體訴訟和解。一名支持中國政府的 Zoom 員工在2020年成功監控、中斷紀念天安門屠殺的會議。 - Zoom 曾向中國政府提供使用者資料。2020年有報導指出 Zoom 經中國伺服器傳輸美國使用者資料。FBI 發現 Zoom 曾同意提供使用者資料的「特殊存取權」給中國政府,其中包括會議的加密金鑰。
- 分享畫面可能會造成其他內容外洩。Zoom 曾在2021年出現漏洞:與會者分享單一視窗的畫面時,平台會短暫顯示使用者整個電腦螢幕的畫面。
Zoom 內建的安全功能
- 端到端加密(E2EE)。Zoom 會議預設部分加密,但若要讓 Zoom 本身無法看到會議內容,使用者必須在設定啟用 E2EE。
- 密碼保護。開啟密碼保護功能後,與會者除了要有會議連結之外,還必須輸入密碼才能參加會議。
- 虛擬等候室。主持人可先在等候室手動確認參加者身分,再讓他們進入會議。
- 鎖定會議。這項功能可將新參加者拒於門外,或將會議設定為受邀帳號才能參加。
- 舉報功能和主持人權限。這些功能讓主持人可以暫停聊天、將搗亂的與會者靜音甚至移除。
Zoom 使用上的建議
- 務必設定密碼並啟用虛擬等候室。這樣主持人可以先確認與會者身分,再讓他們進入會議。
- 分享畫面前先把桌面整理乾淨。關閉所有敏感或私人內容,以防其他視窗不小心被看到。
- 討論敏感資訊時啟用端到端加密。確認所有與會者都看到相同的安全編號再繼續進行會議。
- 會議錄影存檔後重新命名。因為如果沿用 Zoom 自動命名的檔名,一旦駭客破解儲存位置,將能輕易搜尋到檔案。
- 定期更新 Zoom。由於 Zoom 很受歡迎,對間諜和收集資料的單位來說很有價值,所以平台不斷推出安全更新與漏洞修補,時時保持在最新版本是最能確保安全的方法。
← 閱讀第一章:常見的安全風險
→ 閱讀第三章:Google Meet
Bence Kócsi 為資深自由編輯、作家、研究員,主要研究領域為資訊安全、科技、歷史語言學、政治、醫學。