很多用户都以为视频会议软件Zoom,彻头彻尾实践了“端到端加密”(End-to-end encryption,E2EE)功能,确保线上会议内容安全无虞。但是,根据外媒深入研究后发现,Zoom并没有真正使用外界认为的“端到端加密”,造成了极大的隐私安全风险。
根据海外媒体The Intercept报道,Zoom在官方网站与安全性白皮书中所称“视频会议皆采用端到端加密”的说法,与实际情况并不相符。The Intercept进一步求证Zoom发言人后,他们承认当前的Zoom视频会议功能,的确无法激活真正的端到端加密。
既然如此,Zoom所称的“端到端加密”又是怎么回事呢?确实,Zoom上的所有连接都通过了TLS进行加密传输,这与网页浏览器用来保护HTTPS网站的标准相同。这表示,用户到Zoom服务器间的通信,的确具备着加密保护,就如同访问Gmail或Facebook一样。
但是,通常我们理解“端到端加密”时,指的都是“客户端”到“客户端”间的E2EE,例如Signal或WhatsApp这类通信软件,皆有实践严格的端到端加密,服务提供者无法从加密连接中,获得任何的访问权限。但是,Zoom的情况却与外界认知的有不小落差。
目前Zoom所采行的端到端加密为“两段式”,即“客户端”到“服务器”具备E2EE,而“服务器”到“客户端”是另一段E2EE,Zoom本身并没有提供“客户端”到“客户端”的一段式加密,这使得他们所声称的“端到端加密”极具误导性,也代表Zoom可能有办法访问服务器上的信息,形成了隐私安全漏洞。
对此Zoom向The Intercept表示,他们的“端到端加密”说法并没有刻意误导用户,在Zoom所有支持文件中,只要提到“End to End”都是指Zoom端点到Zoom端点之间的加密连接,即便中途通过服务器,内容也不会在云计算遭到解密。
诡异的是,Zoom内置的文本聊天功能,确实具备严格的端到端加密功能,Zoom官方也指出,他们没有解密这些消息的特定密钥。
Zoom也特别强调,公司会通过软件收集部分的用户资料,包含IP位置、操作系统与硬件详细信息,但仅会用于改善软件使用体验,并在用户同意的状况下进行,不会出售或分享给第三方,Zoom内部员工更不可能访问特定的会议内容。
过去,曾有媒体爆出Zoom泄露了上千个电子邮件地址与图片给陌生用户,甚至允许进行视频对话,还有让Mac用户点击到恶意网站时,通过Zoom启动视频摄影机,以及最近的发送资料给Facebook事件等,都让Zoom的安全性得到不少质疑。
企业或个人用户到底该不该继续使用Zoom呢?只能说我们并不是没有其他替代选择,例如微软的Teams就拥有视频会议功能,要拿FaceTime或WhatsApp来开会也并非不可以,如果你真的很担心Zoom的安全性风险,不妨现在起就改用其他App吧!
来源:The Verge、TechCrunch