2020 年 4 月 3 日,公民實驗室發佈了一篇研究報告,針對熱門視訊通話軟體 Zoom 的通訊保密性進行了技術分析。4 月 8 日,我們發佈了另一篇後續報告,補充說明 Zoom 等候室功能中存在的安全漏洞。

發佈之後,我們的報告收到來自媒體、公眾和 Zoom 公司的廣泛迴響。本文件提供了一些常見疑問的解答,並回應外界對我們研究的錯誤解讀。

你們的研究當中發現了什麼樣的安全問題?

在 3 日發佈的報告中,我們指出 Zoom 使用非業界標準的加密法來加密線上會議,而且, Zoom 在說明文件當中所宣稱的安全特性與該平台實際運作的方式不符。

Zoom 的說明文件宣稱他們的應用程式在情況允許之下,都會使用「AES-256」加密法來保護通訊內容。然而經我們測試發現,實際上所有的與會者都會在 ECB 模式下使用同一把 AES-128 金鑰來加解密語音及視訊內容。ECB 並不適合使用,因為在 ECB 模式下,明文的特徵在加密之後仍然會保留。這些發現所代表的意義是,Zoom 所使用的加密法似乎並沒有經過良好的設計與實作。

我們也驗證過,會議中使用的 AES-128 金鑰,已經足夠用來解密從 Zoom 的網路通訊當中截獲的封包。這些金鑰由 Zoom 的伺服器產生,再傳遞給所有與會者。在一部分案例當中,即使所有與會者和購買 Zoom 服務的公司均位在中國境外,金鑰仍是由位在中國的伺服器來傳遞給與會者。此一發現相當重大,因為 Zoom 公司大部分的客戶位於北美,如果透過位於中國的伺服器來傳遞金鑰,即表示中國當局可以要求 Zoom 揭露這些金鑰。然而,雖然這是一個可能發生的狀況,我們並沒有任何證據指出中國或是任何其他國家當局曾經實際取得 Zoom 會議的加密金鑰。

Zoom 等候室功能中存在什麼樣的安全問題?現在使用安全嗎?

在 3 日發佈的報告中,有註明我們發現了 Zoom 等候室功能的安全問題。由於我們不希望造成使用者的隱私風險,而且當時看來 Zoom 應該能夠在短時間內完善地修補這個問題,因此當時我們並未發佈完整的細節。這樣的揭露流程在資訊安全領域當中相當標準。

4 月 7 日,Zoom 通知我們該問題已經修補,Zoom 的 CEO 也於 8 日提及該漏洞已經修補完成。因此我們發佈了一篇後續報告以說明該漏洞的細節。

至於我們發現的安全問題則是:在等候室的使用者獲得加入會議的許可之前,Zoom 的伺服器就會提供該會議的加密金鑰及即時視訊串流。(但此視訊串流只在背景傳送,因此使用者在界面當中看不到。)這個問題讓等候室中任何未經認證的使用者都可以攔截並且解密 Zoom 會議中的「加密」視訊內容。

使用 Zoom 進行機密通訊是否合適?

根據我們 4 月 3 日的報告,如果有高機密和隱私的通訊需求,我們不建議使用 Zoom,例如:

  • 擔心間諜的政府
  • 擔心網路犯罪和商業間諜的企業
  • 處理病患機敏資訊的醫療機構
  • 處理敏感議題的社會運動人士、律師、記者

需要特別注意的是,我們僅測試了主流的 Zoom 應用程式,我們並未測試 Zoom 針對醫療機構提供的符合 HIPAA/PIPEDA 標準的服務,也沒有測試美國聯邦政府部分機構所使用的 ZoomGov 軟體,因此我們並不知道這些版本是否也有類似的問題。

使用 Zoom 進行公開或是半公開的活動是否安全?例如線上教學和與親友聯繫

如果你會在公開或是半公開場合進行這些活動,例如參與教學課程、聆聽音樂表演、與親友聚會,那麼以這些活動來說,我們的研究結果你應該不需要特別擔憂。

有些教育主管機關(例如台灣)和公立學校董事會(例如紐約)基於安全和隱私考量已經下令禁止使用 Zoom。在任何組織當中,該使用什麼工具進行通訊的決策,都需要考量各種風險及需求。但是根據我們的報告,在不需要完善保護機密性的狀況下,我們不認為有需要禁用 Zoom 。

許多國家目前正使用 Zoom 的醫療機構和政府方案,公民實驗室的研究是否涵蓋這些產品?

我們並未測試 Zoom 針對醫療機構提供符合 HIPAA/PIPEDA 標準的服務,也沒有測試美國聯邦政府部分機構所使用的 ZoomGov 軟體。此領域需要更進一步的研究。

中國政府是否使用 Zoom 來監控使用者?

Charlie Kirk (Turning Point USA 創辦人)引用了我們的報告來支持他的宣稱「中國共產黨正在使用 Zoom 來監控我們的人民」,然而我們的研究結論其實無法支持這項說法。雖然我們的研究指出任何具備足夠資源的攻擊者(例如中國或是其他國家當局)都能夠利用我們發現的安全漏洞來截取 Zoom 上面的通訊內容,但是我們的研究方法並無法證實或是反證這樣的通訊內容截取是否曾實際發生。Politifact 針對 Kirk 的說法提供了進一步的細節

Zoom 是否將資料傳送到中國?

部分台灣新聞媒體(例如自由時報風傳媒)錯誤地解讀了我們的報告,指出「Zoom 將資料傳送到中國」。應分清楚,「透過位在中國的伺服器傳遞加密金鑰」與「將資料(會議的語音、視訊和文字)傳送到位於中國的伺服器」為兩件不同的事情。我們的研究指出,在一些狀況下,北美使用者參與 Zoom 會議的加密金鑰是經由位於中國的伺服器來傳送,這項發現並不表示 Zoom 會將資料傳送給中國當局。透過位於中國的伺服器傳送金鑰會造成潛在問題,因為這表示中國當局可以要求 Zoom 揭露這些金鑰。然而,儘管有此可能,我們並沒有任何證據指出中國或任何其他國家當局曾請求或取得 Zoom 線上會議的加密金鑰。

Zoom 對你們的研究發現有何回應?

針對我們的研究和其他人所表達的顧慮,Zoom 已在安全方面採取行動。

Zoom 已公開承諾將在 90 天的期間內專注於發掘與修補資安問題,當中包含第三方安全稽核、改善漏洞回報獎勵機制及準備透明度報告。

Zoom 已對我們的研究作出直接回應,認可我們對他們使用非業界標準加密法所提出的顧慮。Zoom 承諾將改進產品,包含加入端到端加密的功能。Zoom 也承認一部分中國境外的使用者有可能連接到中國境內的資料中心,並說明他們已經立即採取措施防止此情形發生。

2020 年 4 月 8 日,Zoom 釋出了包含額外安全功能的新版客戶端程式。Zoom 執行長袁征在一場線上視訊發表會中表示這一版本已經修復了我們發現的等候室漏洞。他也宣佈成立 Zoom 資訊安全委員會 (CISO Council) 及顧問團來協助他們改進資安和隱私,並聘用 Facebook 前安全長 Alex Stamos 為顧問。

你們可以推薦安全的視訊會議軟體嗎?

本次 COVID-19 疫情使得線上通訊軟體成為全球許多政府、企業、學校和家庭不可或缺的工具。使用哪一套軟體、自己需要什麼樣的安全層級乃是因人而異的決定,需仔細評估個人的風險和需求。如同電子前線基金會所解釋:「完美而且適用於所有情境的通訊軟體並不存在,對某一位使用者適合的通訊軟體對另一位使用者可能很危險」。話雖如此,對於有安全通訊需求的使用者來說,我們建議選擇具備端到端加密功能,並且通過獨立資安稽核的通訊軟體。

我們的 Security Planner 網頁工具有提供資訊安全建議給一般使用者,這些建議經研究在絕大多數場合下可以改善資訊安全。

電子前線基金會也在他們的 《Surveillance Self Defense》 指南當中提供保障通訊安全的進一步建議。