有關 Zoom 的資安疑慮與建議

由於 Zoom 仍是目前功能最全面,也是市場使用率最高的視訊會議軟體,雖然在資訊安全上仍有一些疑慮,但似乎又沒有十足的證據可以證明 Zoom 是不安全的軟體,現階段與其爭論 Zoom 是否安全,不如強化使用習慣,增添使用視訊會議時的資安防護。
評論
Photo Credit: Shutterstock/ 達志影像
評論

原文刊載在 Medium 並獲作者同意轉載,作者為中研院呂紹勳、陳伶志。

由於近期新型冠狀病毒疫情的影響,許多會議的進行逐漸從面對面的方式,改為線上進行,因此視訊會議軟體也一躍成為當紅的遠端辦公軟體;其中 Zoom 這套軟體由於功能完整、視訊品質佳,同時操作介面簡單,加上搭配疫情所推出的一系列免費優惠方案,因此已迅速普及,成為全球最熱門的網路應用軟體。然而,隨著人們對 Zoom 這套軟體的越發了解,許多資訊安全上的隱憂也一一浮現,針對這些疑慮,以下整理了相關的報導與正反兩方的意見如下,並且給予使用 Zoom 這套軟體的資訊安全建議。

Zoom 的資安議題

在過去幾年間,Zoom 這套軟體曾經因為資安事件,至少上了兩次新聞版面:

  1. 2019 年 Zoom 軟體在 Mac 電腦上被發現有資安漏洞,導致 Zoom 軟體可以在不須經過使用者同意下,自動開啟鏡頭 [1]。
  2. Zoom 的安全威脅 — 使用者圖方便,不喜歡設定密碼 [2]。

但是,若進一步仔細探究上述資安事件的源頭,仍不外乎「軟體開發不周全引發漏洞缺陷」及「使用者貪圖使用方便性,致使有心人士有機可乘」兩大原因,而這兩項原因其實普遍存在多數的應用軟體中,只要開發商願意迅速修補漏洞,以及使用者充實自我資安意識,其威脅程度是可以大幅降低,不至於到不可用的地步。

然而,Zoom 真正為人所擔心的地方,其實是其創辦人的背景有強烈的中國色彩,且其主要開發團隊皆在中國境內 [3],而長久以來中國政府對於境內高科技公司的掌控與插手程度,讓人不免懷疑 Zoom 這套軟體是否也因此可能潛藏後門,或者存在尚未爆發的資安風險。特別是一些重要的會議若是透過 Zoom 進行,是否能確保會議內容的機密,更是大家關心的重點。

Zoom 不能用嗎?

在另一方面,Zoom 本身也展現極大的企圖心,希望證明軟體的資訊安全是值得信賴的。例如,在 2019 年 5 月7日,Zoom 在其官網上公布其政府版的軟體 (Zoom for Government) 已通過美國中央雲端軟體採購認證 (FedRAMP),並獲得美國國土安全部採用作為視訊會議相關用途 [4],該項認證需經過美國政府單位資訊部門詳細的風險評估與安全測試,因此足以證明其安全無虞。

除此之外,針對上述自動開啟鏡頭的資安議題,Zoom 團隊也在 2019 年 7 月便緊急進行程式修補,讓使用者在解除安裝 Zoom 時,能夠完全移除本地主機(Localhost)網頁伺服器;或者也可以透過程式的自動更新,刪除有安全疑慮的本地主機網頁伺服器 [5],以果斷負責的行動展現其重視資安的程度。Zoom 也在官網上提供資訊安全白皮書,持續更新並公開 Zoom 在軟體安全上所做的努力。

怎麼用 Zoom 比較安全

由於 Zoom 仍是目前功能最全面,也是市場使用率最高的視訊會議軟體,雖然如上所述在資訊安全上仍有一些疑慮,但似乎又沒有十足的證據可以證明 Zoom 是不安全的軟體,因此現階段與其爭論 Zoom 是否安全,不如強化使用者的使用習慣,增添使用視訊會議時的資安防護,以下是幾點建議的措施:

  1. 使用 Zoom 進行會議時,請務必啟用點對點加密。(預設功能,請勿關閉)
  2. 建議從 Zoom 政府版網頁 [6] 下載軟體,並且隨時保持讓程式更新到最新版本。
  3. 在 Zoom 系統中註冊專屬的帳號,並且設定未曾使用過的專屬密碼,請不要使用以既有 Facebook 或 Google 帳號登入的方式進行認證。
  4. 舉行會議時,請務必設定會議密碼(最好每場會議都不一樣,且要注意密碼的強度),以防無關的第三人擅入;同時,會議主持人的密碼,也須避免重複使用,並注意密碼的強度。
  5. 邀請與會者時,會議室的連結與會議密碼不要用同一封信寄出,如果是重要的會議,會議密碼應該採行其他的通訊方法告知。(例如電話簡訊或 Line 等)
  6. 在自己電腦的作業系統中,另外開設一個只有一般權限的使用者帳號,並使用這個使用者帳號去參加 Zoom 會議,等會議結束後,再切換為原本的使用者帳號。
  7. 若為臺灣學術網路使用者,可使用教育部提供的 Zoom 服務,其伺服器架設在教育部的機房,在資安管控上較可以信賴。

結語 — 如果對於 Zoom 還是有疑慮怎麼辦

資訊安全本身除了技術面外還存在更多的信任議題,而資訊安全的超前部署,也永遠是不嫌多的。如果對於 Zoom 的資訊安全還是心存疑慮,或者會議本身具有高度敏感性,建議可以改用其他的通訊或視訊會議軟體。例如,對於與會人數不多,不需要特殊會議功能(例如白板、投票、錄影等)的會議,可以使用 Line、Skype、Facetime 等軟體;對於跨單位、與會人數多或者需要特殊會議功能的會議,可以採用 Cisco WebEx、Adobe Connect、Microsoft Teams、Google Hangouts Meet、CyberLink U Meeting 等軟體。

必須重申的是,在資訊安全的領域中,沒有任何軟體是保證安全的,在使用任何軟體時,使用者都需要保有資安意識,若有任何疑慮,或發現任何可疑現象,可以立即尋求資訊人員的協助,也唯有大家同心協力,才能讓整體的資訊服務更加便利與安全。

參考資料

[1] 鄧天心,新頭殼 newtalk (July, 2019):驚爆資安漏洞!視訊會議軟體 Zoom 能偷偷開啟Mac. https://newtalk.tw/news/view/2019-07-10/270849

[2] Zak Doffman, Forbes (Jan 28, 2020): New Zoom Security Warning: Your Video Calls At Risk From Hackers — Here’s What You Do. https://www.forbes.com/sites/zakdoffman/2020/01/28/new-zoom-roulette-security-warning-your-video-calls-at-risk-from-hackers-heres-what-you-do/

[3] XY Wang, PANDA!YOO (March 10, 2020): Zoom! You are using the video conference application (mostly) developed by Chinese. https://pandayoo.com/2020/03/10/zoom/

[4] Priscilla Barolo, Zoom Inc. (May 7, 2019): Zoom Achieves FedRAMP Moderate Authorization. https://blog.zoom.us/wordpress/2019/05/07/zoom-achieves-fedramp-moderate-authorization/

[5] 李建興,iThome (July 10, 2019):Zoom緊急修正Mac客戶端漏洞,拿掉本地主機網頁伺服器. https://www.ithome.com.tw/news/131763

[6] Zoom or Government, https://zoomgov.com

責任編輯:Chris
核稿編輯:Mia

延伸閱讀:



【社會數位轉型】交通安全不能靠運氣!經濟部AI智慧運輸新解方預防事故發生

居住在都市的人們,大多早已習慣使用電子票證搭乘大眾運輸,能自然而然透過即時公車動態資訊掌握交通時間,也多有騎乘共享單車的經驗,旅遊時更享受著機場無人化自動通關、國道 ETC 電子道路收費的便利。這些畫面也許你不曾留意,但都是智慧運輸科技改善生活的證明。
評論
Photo Credit:Unsplash
評論

疫情衝擊下,結合人工智慧、區塊鏈、加密貨幣、虛擬實境、物聯網等數位科技的創新應用服務不斷成長,加速產業數位轉型,為經濟帶來正面效益,不知不覺間也成了改變社會的力量。隨著時代進步,人類的食衣住行越來越離不開數位科技,而交通運輸作為維繫社會系統運作的關鍵之一,正是臺灣邁向數位國家必須關注的重大議題。

近年特斯拉在全球大賣,經濟部技術處也看準無人載具、自駕車趨勢,推動創新實驗專案計畫,秉持沙盒精神,授權產學研於北中南各都進行落地實證,促進臺灣智慧運輸科技的研究發展與創新應用。

串聯法人技術合作 開發 AI 自動煞車系統罩大型車

馬路如虎口,臺灣交通事故多,為提升交通安全,資策會系統所在經濟部技術處科技專案的支持下,以自駕感知次系統技術能量於 2021 年發表全球首創的智慧巴士 AI 內輪差自動剎停技術,結合車輛視野輔助攝影機及 AI 影像辨識技術,陸續在台北市、新北市、桃園市等交通場域進行系統實證。現已能在預測內輪差區域發生碰撞前 1 公尺在 0.6 秒內發出預警並自動煞車,降低大型車駕駛盲點車禍事故問題。

資策會系統所智慧駕駛組組長張均東表示,臺灣交通環境為二輪與四輪複雜混合車流,車流密度高,駕駛習慣參差不齊,相較歐美更為複雜,對於發展無人載具來說是很大的挑戰,但也充滿機會。臺灣大型車平均一年造成 1,500 件事故,主因就是在混合車流環境下於視野死角容易發生死傷事故,「最常見就是所謂的 A 柱(註)與內輪差視野盲區,大型車輛(公車、貨車、聯結車等)轉彎時無法清楚看到機車、行人是否在行駛區域內,於是在轉彎行進過程來不及反應,造成此類車禍傷亡率很高。」

張均東解釋,目前車輛大多使用毫米波雷達感知周遭環境,但毫米波雷達雖對金屬物件偵測較敏銳,但無法得知物件類型,「毫米波雷達在偵測行人、兩輪車方面的穩定度沒有很好且無法辨識其類別。尤其是上下班時間,公車周圍滿滿都是汽機車,很難準確反應 A 柱與內輪差視野盲區內是否有機車、自行車、行人。」 據統計,正常駕駛人行車時,從目視到緊急情況,到做出反應、踩下煞車,反應時間約 0.6 秒左右。而大型車所需要的煞車距離又更長,往往駕駛在意識到危險時已來不及因應,生死就在一瞬間。

為此,資策會系統所與巴士業者合作,透過在公車上裝設之 5 顆攝影鏡頭,拍攝車輛行駛中容易發生碰撞之視野範圍,結合資策會開發的臺灣行車街景深度學習資料庫(Formosa Dataset),以 AI 深度學習辨識技術發展 AI-ADAS(AI 先進駕駛輔助系統)。

資策會系統所團隊現行於台北市、新北市、桃園市實際道路之實證結果已經可以在發生碰撞前 3 至 5 公尺以語音提醒公車駕駛在警戒區有行駛物件類別,且在發生碰撞前 1 公尺於 0.6 秒內,若駕駛無進行剎車動作時則由系統自動剎停。「本技術在日夜晴陰雨及複雜街景中皆能穩定辨識出行人、機車騎士、老人代步車及三角錐等交通物件,都不是問題。」張均東說,接下來預計技術進程將發展進化到預測大型車輛若要進行轉彎或變換車道時,系統會主動觀測鄰近車輛、行人行進軌跡並預測未來 3 秒行駛路徑有碰撞風險,則會主動減速緩剎並打正方向盤等 Level 3 自主駕駛技術,進而發展為智慧駕駛系統關鍵技術,擴大到不同車種的應用,創造更大市場價值。

著眼我國路上交通特性  全球首創機車車聯網安全應用

而要預防車禍意外,也不能不注意機車。臺灣的機車密度全球第一,平均每 2 人就擁有 1 台機車;在所有的交通事故中,有超過 75% 的車種與傷亡人數都是「肉包鐵」的機車,其中死亡人數每年都超過千人,包括因車速過快而自撞、自摔所造成的傷亡。

為此,資策會從機車用路人的角度,針對周遭路況及早反應,提供機車安全防護,除了降低機車整體藉此事物與傷亡比例,更能藉此改善駕駛行為。智慧機車安全警示系統便是因此而生,整合智慧型路側設備與機車車上裝置,偵測車速與路線,預測行車風險,再透過 LED 看板顯示路況警訊,打造低成本、高滲透的安全騎乘環境。2019、2020 年分別獲資通訊領域最高殊榮全球 ICT 卓越獎(WITSA Global ICT Excellence & Award),以及美國素有創新界奧斯卡之稱的愛迪生獎(Edison Awards)肯定,使臺灣成為第一個將車聯網技術應用在機車的國家。

資策會系統所規劃師廖彥程表示,團隊觀察到臺灣機車使用量非常大,而且很難從政策面減少機車數量,「只能從防止肇事的安全角度著手改善」。為此,資策會系統所在經濟部與交通部的支持下,攜手臺灣車聯網產業協會,並與擅長交通控制、交通安全的臺大教授許添本合作,共同研發智慧化解決方案。

「有些都是很早就成熟的技術,關鍵是要怎麼把不同科技串連起來」,廖彥程說明,在經濟部與交通部的指導下,本系統以無線射頻辨識(RFID)技術為基礎,並結合 AI 影像辨識與決策機制進行分析,能提醒駕駛注意來車、減速慢行等,爭取更多反應時間。

經 9,300 輛機車、70 組路測設施大規模實測,收集分析了幾千萬筆的駕駛行為資訊後證實,機車通過易肇事路段的平均車速可有效降低 12%,減少交通事故比例 50%。同時,計畫第二期試驗所選擇校園場域中山大學,粗估平均車速下降 30%、事故數減少 80%,成效驚人。廖彥程表示,因為和市區相比,校園交通環境較封閉、單純,導入新系統的衝擊較小;另外,發生機車車禍的年齡層以 18 到 24 歲占絕大多數,「正好趁著年輕學子剛拿到駕照、血氣方剛的時期,幫助他們及早養成良好的駕駛習慣。」

社會發展帶動交通產業轉型 打造智慧科技新舞台

現在全世界都在關注社會數位轉型,除了在交通運輸上的變革之外,數位科技帶給社會的影響還有 8 大關鍵問題,包括:資訊中立與數位近用權、數位技能落差與教育、數位專業之性別權、跨領域鏈結與人才培育、開源協作與開放生態系、去中心化與分散化數位治理、數位國土與資訊安全、資訊與人工智慧倫理等,都是臺灣發展數位經濟的過程中,必須時時回頭關注的社會議題。

臺灣的交通環境雖然複雜,但也因此成了智慧運輸科技的絕佳試煉場,形成另一種「臺灣經驗」。不同於國外汽車產業發展 AI 應用時,大多以房車為出發點,經濟部技術處也重視臺灣大眾運輸、機車族的需求,希望藉由科技應用實現社會數位轉型,先解決民生交通問題,再帶動市場,未來在國際發光發熱。

儘管現在臺灣自動駕駛市場還不成熟,這些創新計畫也仍處於試驗階段,尚未正式落地,但當實證階段完成,掌握差異化優勢,相信從公共領域到產業發展都精彩可期。

  • 註:汽車A柱為擋風玻璃兩側主要結構,為顧及車體強度,設計多半較為粗壯,但也因此容易產生視覺死角