Zoom 爆出視訊內容與解密金鑰後送中國伺服器 創辦人致歉表示後台網路設定錯誤

人紅是非多？爆紅的 Zoom 在數度被揭露安全風險後，再被發現會將用戶流量導向中國，而其不完善的加密則可能讓中國取得加密金鑰。

加拿大公民團體 Citizen’s Lab 發現，某些用戶視訊連線連同加密金鑰被導向中國伺服器，即使使用者人在北美。

該實驗室還發現，雖然 Zoom 文件聲稱其視訊流量採用 AES-256 的加密技術，但其實每次的 Zoom 會議僅使用一把 ECB (Electronic Code Book) 模式的 AES-128 金鑰來加／解密影音訊息。 ECB 模式會在加密時將加密規則以明碼保存，因此一般建議不要使用。

公民實驗室研究人員指出，AES-128 金鑰是由 Zoom 的伺服器產生，在某些情形下，這些金鑰隨著 Zoom 流量流到中國的伺服器上。這個時候只要一把 AES-128 金鑰就足以解密 Zoom 封包內容，將讓 Zoom 通訊內容曝光，甚至被中國政府掌握。

Zoom 執行長袁彬出面解釋，流量導向中國是 Zoom 的服務品質設定錯誤所致。正常情況下，Zoom 用戶端會連到用戶所在地區或鄰近資料中心，如果因網路壅塞多次連線失敗後，用戶端即會改連到第二順位的資料中心。但一般 Zoom 有「地理圍柵」（geo-fencing）的限制，即歐洲用戶連向歐洲資料中心，而不會連向中國。但在今年疫情爆發時，Zoom 急速擴增資料中心導致出錯，未全面設置地理圍柵，導致北美部份 Zoom 用戶被導向中國資料中心。

該公司已解決流量誤導的問題，也承諾將強化加密機制，並會援引專家意見以確保遵守最佳安全實作（best practice）。

這是兩周來 Zoom 又一次被揭露安全問題。上周 Zoom 首次承認其加密並非如宣稱的端對端加密，之後有人利用 Zoom bombing 手法，擅自闖人他人連線並安插不雅內容。隨後安全人員又發現 Zoom app Mac 版、 Windows 版有安全漏洞，可能讓駭客非經用戶同意安裝程序或注入 JavaScript，藉此控制用戶相機或麥克風。袁彬上周已出面道歉，並承諾未來 90 天全力改善其安全問題。

由華裔美人袁彬創辦的 Zoom 因為武漢肺炎，數百萬人被迫在家上班或隔離而用戶高速成長。 Zoom 會議用戶去年底還只有 1000 萬人，今年 3 月已暴增到超過 2 億。

來源：Citizen’s Lab 、 Zoom 、 Techcrunch