吳明宜Zoom 爆出視訊內容與解密金鑰後送中國伺服器 創辦人致歉表示後台網路設定錯誤
人紅是非多?爆紅的 Zoom 在數度被揭露安全風險後,再被發現會將用戶流量導向中國,而其不完善的加密則可能讓中國取得加密金鑰。
加拿大公民團體 Citizen’s Lab 發現,某些用戶視訊連線連同加密金鑰被導向中國伺服器,即使使用者人在北美。
該實驗室還發現,雖然 Zoom 文件聲稱其視訊流量採用 AES-256 的加密技術,但其實每次的 Zoom 會議僅使用一把 ECB (Electronic Code Book) 模式的 AES-128 金鑰來加/解密影音訊息。ECB 模式會在加密時將加密規則以明碼保存,因此一般建議不要使用。
公民實驗室研究人員指出,AES-128 金鑰是由 Zoom 的伺服器產生,在某些情形下,這些金鑰隨著 Zoom 流量流到中國的伺服器上。這個時候只要一把 AES-128 金鑰就足以解密 Zoom 封包內容,將讓 Zoom 通訊內容曝光,甚至被中國政府掌握。
Zoom 執行長袁彬出面解釋,流量導向中國是 Zoom 的服務品質設定錯誤所致。正常情況下,Zoom 用戶端會連到用戶所在地區或鄰近資料中心,如果因網路壅塞多次連線失敗後,用戶端即會改連到第二順位的資料中心。但一般 Zoom 有「地理圍柵」(geo-fencing)的限制,即歐洲用戶連向歐洲資料中心,而不會連向中國。但在今年疫情爆發時,Zoom 急速擴增資料中心導致出錯,未全面設置地理圍柵,導致北美部份 Zoom 用戶被導向中國資料中心。
該公司已解決流量誤導的問題,也承諾將強化加密機制,並會援引專家意見以確保遵守最佳安全實作(best practice)。
這是兩周來 Zoom 又一次被揭露安全問題。上周 Zoom 首次承認其加密並非如宣稱的端對端加密,之後有人利用 Zoom bombing 手法,擅自闖人他人連線並安插不雅內容。隨後安全人員又發現 Zoom app Mac 版、Windows 版有安全漏洞,可能讓駭客非經用戶同意安裝程序或注入 JavaScript,藉此控制用戶相機或麥克風。袁彬上周已出面道歉,並承諾未來 90 天全力改善其安全問題。
由華裔美人袁彬創辦的 Zoom 因為武漢肺炎,數百萬人被迫在家上班或隔離而用戶高速成長。Zoom 會議用戶去年底還只有 1000 萬人,今年 3 月已暴增到超過 2 億。