圖片來源: 

FTC

Zoom因為先前被發現不實宣稱提供256-bit全程加密等安全措施,遭到美國聯邦貿易委員會(federal trade committee,FTC)調查及起訴。FTC昨(9)日表示Zoom已同意導入一系列安全措施換取和解。

根據FTC今年稍早提出的法律文件,至少從2016年起,Zoom就已提供端到端(end to end)256-bit等級加密的說法來誤導消費者。但FTC調查發現多項Zoom行銷說詞言過其實。

首先,端到端加密的業界定義包括沒有任何人,包括服務平台供應商都無法讀取內容,但Zoom保留加/解密金鑰使其得以存取用戶的會議,Zoom的加密金鑰也不如宣稱的256-bit,而只有128-bit。此外,Zoom宣稱用戶視訊會議在一結束後就會加密儲存到雲端,但其實這些影像資料以未加密狀態儲存在Zoom伺服器內至少60天,才會移轉到加密雲端儲存。

其他「罪狀」包括,2018年Zoom Mac版App在安裝到用戶電腦後會悄悄安裝並啟動ZoomOpener web server,其間繞過了蘋果Safari瀏覽器的警告機制,使用戶在不知情下加入到會議中,陷用戶於被陌生人遠端監控的風險中。而且即使用移除Zoom App,ZoomOpener web server還是會留在用戶電腦中。但Zoom對此皆未向用戶揭露。此外Zoom也被發現有資料隱碼及跨網站腳本程式(cross-site scripting,XSS)漏洞、漏洞被發現一年多才修補、以及未能有效防範網路上匿名活動等。

作為雙方和解的條件,FTC要求Zoom必須導入一系列安全強化措施,包括導入多因素驗證、資料刪除控管、防範用戶帳密盜用;漏洞管理方案;強化內、外安全風控。此外,Zoom 需檢查軟體更新是否有漏洞、不得危及第三方軟體,並且必須老實公告其隱私及安全措施,包括用戶個資蒐集、使用及用戶權利等。最後Zoom也必須同意由第三方單位對其安全措施進行1年2次的稽核。

FTC並要求,前述要求未來每違反一項,就會遭到4.3萬美元的罰金。

Zoom已在10月底對付費、免費版正式提供端到端加密,先從桌機及手機版本開始。Zoom預計2021年內會再陸續加入其他安全功能,包括提升身分管理及E2EE單一簽入(SSO)整合。


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement