加拿大多倫多大學Citizen Lab的研究人員指出,Zoom宣稱自己採用256位元的AES加密標準(左圖),但他們的實測結果(右圖)發現只有128位元。

因「在家工作」風潮而大紅的視訊會議軟體Zoom,繼日前被爆出隱私及安全問題,接著Zoom創辦人袁征親自出面滅火之後,加拿大多倫多大學市民實驗室(Citizen Lab)的研究人員再度指出Zoom在安全白皮書中宣稱自己採用256位元的AES加密標準,但其實只有128位元。

根據Zoom在白皮書中的描述,Zoom能夠使用256位元的AES(Advanced Encryption Standard)演算法於應用程式層,來加密所有呈現的內容。該白皮書也有提及128位元的AES加密,但僅被應用在手機SIP註冊認證及VoIP上。

然而,研究人員指出,在基於電子密碼本(Electronic CodeBook,ECB)模式的Zoom會議中,所有參與者都是使用單一的AES-128金鑰,來加密及解密視訊與音訊,業者向來不建議採用ECB模式,因為它在加密過程中會保留明文。

研究顯示,Zoom會議的預設值,是讓與會人員分享單一的AES-128加密與解密金鑰,但該金鑰是由Zoom伺服器所產生及派送,而且Zoom是在ECB模式中以AES進行加密與解密,含有保留明文的缺點。

此外,Zoom雖然是家在那斯達克(NASDAQ)上市的美國公司,但Zoom程式卻是由Zoom於中國設立的3家公司所研發,在中國擁有至少700名員工。Zoom所建立的73個伺服器中,有68個位於美國,5個位於中國。

研究人員發現,就算Zoom的與會人士皆位於北美,還是會出現由中國伺服器產生及遞送金鑰的狀況,也擔心Zoom會受制於中國政府,在必要的時候臣服於中國政府的要求。

在此一研究報告出爐後,袁征很快就發表聲明,指出他們通常是以用戶位置來決定所使用的資料中心,但今年2月他們緊急在中國增加了資料中心的容量,來因應突增的需求,匆忙中把兩個位於中國的資料中心,加入了備用白名單,才會造成美國服務連往中國伺服器的情況,現在已將它們自名單中移除。

至於加密的議題,袁征則表示,這是Zoom在儘量滿足最多使用案例並兼顧加密而採行的設計,目前正與第三方專家討論,同時廣納外界意見,以找出一個最適合的解決方案。

1970年出生的袁征出生於中國山東,在中國取得大學與碩士學位之後,於1997年到美國加入了WebEx,並在WebEx於2007年被思科收購後進入思科,擔任思科工程部副總裁,於2011年創立了Zoom。

在武漢肺炎疫情爆發後,Zoom流量呈現了不可思議的爆炸性成長,該平臺在去年12月底時,每天的與會人數最多只有1千萬人,在今年3月時,每天的與會人員數上升20倍,超過了2億。現在Zoom不管是在Google Play或是蘋果的App Store上,都是免費程式下載排行榜上的冠軍,有眾多的學校採用Zoom作為遠距教學的工具,甚至有Twitter用戶打趣說,大家現在都在上Zoom大學,比哈佛大學還厲害。

不過,即便袁征已承諾將在未來90天,凍結Zoom所有新功能的開發,以全力解決該平臺的安全及隱私問題,但根據華盛頓郵報的報導,美國已有許多學校因擔心Zoom的安全、隱私或陌生人亂入問題,而封鎖了該平臺,並建議師生可改用Microsoft Teams。


Advertisement

更多 iThome相關內容