☰

江雅绮／远端科技的资安风险：Zoom到底出了什么问题？

●江雅绮，台北科技大学智财所副教授、行政院「数位国家创新经济推动小组」民间咨询委员会委员。

新冠肺炎（武汉肺炎、COVID-19）疫情席卷全球，能帮助人们既保持社交距离、又维持日常活动的工具或软体都一夕暴红。以满足人们远端会议和教学的需求来说，主要功能齐全、使用界面直觉便利的Zoom，就是一个例子。但随着Zoom的使用者数在三个月内由1千万爆增到2亿、Zoom的市值由160亿跳至420亿美元，人们也开始更加认真检视它的隐私与安全设定。

没想到不看则已，一看之下各项被怀疑的漏洞逐一现形，以至这场原本被称为ZoomBooming 的数位经济成长案例，已经几乎变成尴尬的负面教材。

点对点加密「偷懒」成传输加密

一个明显的漏洞是Zoom在官网上强调自己具有「点对点加密」的功能，使用者上线开会的时候，也会发现荧幕左上角有一个小小的锁头标志，以为那就是「通讯内容点对点加密」的象征。

一般定义的点对点加密，意指连软体公司自己都无法解密使用者的内容。但经科技实验室调查，Zoom仅具有文字点对点加密的功能，视讯影像由于传输的资料庞大，要一方面实现严格的点对点加密一方面让视讯品质流畅，就需要花更多的功夫。

而Zoom在此选择了相对「偷懒」的「传输加密」，也就是仅在资料传输过程中第三人无法解密内容，但非点对点加密，因此ZOOM公司有能力取得使用者的视讯内容。

或许有人认为会议内容无关紧要，让Zoom公司看到也没关系。但套用美国联邦交易委员会首席科技官的话：假设A公司和Zoom都强调自己使用点对点加密，但A公司确实投入资源建置了点对点加密功能，但Zoom却没有置放足够的资源建置点对点加密，消费者选择Zoom就可能是没有得到正确资讯的决定、也让其他公司处于不公平的市场竞争地位。

Zoom安全与隐私充满疑虑

除了有灌水嫌疑的点对点加密宣告，Zoom也面临严峻的侵害隐私权官司。在隐私保护声明上，Zoom宣称公司会运用一套标准安全措施来保护使用者的个资、不被非法公开或滥用。但实际上据一份3月26日公开的科技专家测试报告，不管使用者有没有脸书帐户，Zoom都会默默将大量的使用者资料传送给脸书，同时也取得使用者的脸书资料，以利精准投放网路广告。

在上述搜集、使用个资的行为中，Zoom是否充分告知使用者并取得使用者的同意，不无疑问。美国加州也因此有了第一件基于《消费者隐私法案》控告Zoom对使用者隐私保护不周的诉讼。

更严重的是，有能力「偷看」使用者视讯内容的Zoom，虽然公开声称自己绝不会这么做，但近日却又被专家发现，许多不在中国境内启动的会议内容，资讯传输路径却有时「绕进」中国。尽管Zoom表示这是无心的错误，而目前尚无证据显示软体内有刻意藏下的后门。但是种种资讯不确不实、说明不清不楚，已给人们一种Zoom试图「混过安全与隐私要求」的印象，势必影响未来人们的使用意愿。

潮水退后，才知道哪些人赤身裸体。在阳光下检视，方知道哪些公司走在法律的灰色边缘。Zoom的创办人在一连串检验之下，已经出面道歉并承诺未来改进，但由此知，资讯安全和隐私保障已成全球的通用标准，未来数位经济发展，不可能只谈技术好不好用，也应该重视文明法律的要求。

江雅绮／远端科技的资安风险：Zoom到底出了什么问题？

相关资讯