曾被踢爆不支援「端對端加密」,今 Zoom 與 FTC 和解

FTC 認為,Zoom 當時的說法恐誤導使用者,可能引發潛在資安危險。
評論
▲Photo Credit: Shutterstock/ 達志影像
▲Photo Credit: Shutterstock/ 達志影像
評論

之前 Zoom 對外聲稱自己擁有端對端加密(end-to-end encryption),但在今年 4 月初,被外媒踢爆只是採用傳輸層安全性協定(Transport Layer Security;TLS),因此被美國聯邦貿易委員會(FTC)指控為「欺騙」。

而根據 TechCrunch 報導,今日 FTC 與 Zoom 已達成和解。根據 FTC 於本週一公佈的公開聲明,Zoom 從 2016 年起對外聲稱提供使用者端對端加密,但實際上,他們只是提供多數瀏覽器用來保護 HTTPS 網站的傳輸層安全協定,讓使用者在與 Zoom 伺服器交換數據時受到加密保護,類似我們使用 Facebook 或 G-mail,而非資安界所謂的防止被竊聽、被竄改、第三方無法取得解密金鑰的端對端加密等級。

    推薦閱讀:Zoom 會議不支援端到端加密,再度引發資安疑慮

FTC 認為,Zoom 的說法恐誤導使用者,假如使用者因信任 Zoom 資安保護而用來討論與個人隱私健康或公司財務有關的敏感機密資訊,就可能引發潛在資安危險。

此外,FTC 也指出 Zoom 會在伺服器上儲存一些未加密的線上會議紀錄,儲存時間最高紀錄長達 2 個月;也會在使用者不知情下,在他們的電腦裡安裝 Web 伺服器,雖然這樣可以讓使用者參加會議時更快速,但也危及資安。

因此,FTC 除了要求 Zoom 不得散播錯誤的產品資安資訊,也同意 Zoom 啟動安全漏洞管理程式,以便提高內部網絡的資安等級。

Zoom 除了坦率承認過去的說法可能誤導消費者,也於今年 4 月啟動為期 90 天的周轉工作,當時承諾將會推出真正的端對端加密,之後也的確於今年 10 月底時全面在付費版和免費版推出這項功能。此外,Zoom 也更新應用程式,刪掉那些自動安裝的 Web 伺服器。

    推薦閱讀:Zoom 推出全新 OnZoom、Zapp 服務 點對點加密功能全面開放測試

Zoom 發言人表示,目前已經解決 FTC 提出的問題,雙方達成和解。

核稿編輯:MindyLi

延伸閱讀: