所有的通訊軟體都有安全漏洞,Google Meet 也不例外,記者必須謹慎使用。無國界記者(RSF)邀請資安專家 Bence Kócsi 就視訊會議安全撰寫系列文章,第三章將說明 Google Meet 使用上的風險,以及相應的安全防護措施。
Google Mee t和其他 Google 產品(Gmail、Google 行事曆等)完美整合,使用方便,因而受到許多專業人士青睞。雖然很多人認為它的安全性不輸 Zoom,甚至更勝於 Zoom,但別忘了Google Meet 由 Google 持有經營,而 Google 過去在資料收集和透明度方面曾有令人擔憂的紀錄。
Google Meet 使用上的風險
- 通常要有 Google 帳戶才能使用。如果有人需要匿名,可能就需要為視訊會議另創新帳戶,才能避免出席紀錄和個人帳戶連結。由於 Google 未在中國營運,住在中國境內的聯絡人可能連開帳戶都有困難。
- 會議無法設定密碼保護。意即若有人非法進入他人的 Google 帳戶,就能輕鬆加入會議。
- 會議預設並非完全加密。雖然第三方無法查看會議內容,但 Google 本身可以看到會議內容。
- 政府機關可能會命令 Google 交出使用者資料。若 Google 收到相關要求,任何 Google 可看見的使用者資料都可能被交給政府。
- 端到端加密(E2EE)僅適用部分功能。語音與視訊訊息預設為完全加密,但會議若要啟用 E2EE,必須使用 Meet Legacy Calls(前身為 Duo)。
- Google 撥入功能完全未加密。撥入與撥出會透過未加密的傳統電話網路連接 Google Meet 和一般電話號碼。
Google Meet 內建的安全功能
- 會議安全設定。這些設定可讓主持人拒絕尚未核實身分者的加入請求、限制可加入和發言的人員,並阻止曾多次被拒的帳戶持續發出加入請求。
- Google 帳戶可提供額外的安全保護。雖然綁定Google帳戶在有些情況下可能會造成不便,但有高度安全需求的會議可以設定為特定核准帳戶才能參加,或只開放給有Google 行事曆連結的帳戶加入,大幅降低不速之客進入會議的可能。
- Google 未在中國營運。表示使用者資料不太可能被傳送到中國政府可存取的伺服器。
Google Meet 使用上的建議
- 建立替代帳戶。若記者和消息來源有匿名需求,或對 Google 處理資料的方式有所疑慮,應用替代帳戶處理敏感資訊的交流和會議規劃。
- 盡量使用 Legacy Calls(Duo)。這種模式有端到端加密,Google 無法查看會議內容,自然無法把會議內容交給第三方或政府。
- 避免使用撥入與撥出功能。傳統電話網路完全未加密,且容易被攔截。
← 閱讀第一章:常見的安全風險
← 閱讀第二章:Zoom
Bence Kócsi 為資深自由編輯、作家、研究員,主要研究領域為資訊安全、科技、歷史語言學、政治、醫學。