通識導賞:Zoom安全漏洞拆解 刪除不一定保平安!

文章日期:2020年04月12日

【明報專訊】疫情下,香港人漸漸熟習以家為中心的生活方式,大量會議和課堂都轉移網上,Zoom是一大熱門平台。

返回辦公室工作和復課仍遙遙無期,當我們慶幸已慢慢熟悉如何利用視訊功能處理日常要務時,台灣行政院、美國紐約市教育局、新加坡教育部均相繼呼籲學校停用或禁止公共部門使用Zoom。

Zoom到底有多危險?問題出在哪裏?

Zoom有什麼漏洞?

中大新聞與傳播學院助理教授徐洛文在大學的建議下,自二月開始以Zoom網上授課。建議用Zoom訪問的前一天,他給記者電郵發送一條連結,打開即見「Lok Man TSUI的個人會議室」,訪問時間未到,介面顯示「等待會議主持人召開此會議」。「Zoom出名方便用,給你link就開始得,可以同時好多人就要夠capacity,另外又要夠user-friendly」。他指,其實疫情下這波Zoom熱潮之前,一兩年前它已被揭發過安全問題,形容這間公司一向對此不太着重。徐洛文引述多倫多大學兩名研究員針對Zoom保安漏洞最近發布的研究結果,指有三大關鍵問題:

1. 誇大加密技術

他解釋,兩個人之間的對話首先在電腦裏會被加密再傳輸,「加密是個mathematical algorithm(演算),好簡單的encryption equipment(加密公式)就是A就變B,B就變C,移一個字,這就很弱很容易解,所以會有不同standard」。他解釋,AES-256(AES,進階加密標准)比AES-128的加密複雜很多,破解的難度更高。而Zoom官方文件中宣稱程式使用AES-256演算法加密呈現的內容,研究卻發現實際加密技術僅達AES-128。

2. 採用中國伺服器

解鎖加密內容需要「密鑰」,徐洛文嘗試以顯淺形容解釋,「我講的說話加了密,Zoom要告訴你密鑰是什麼,你才能聽到內容」。然而研究人員發現,即使Zoom的與會者均身處北美,還是會出現由中國伺服器產生及遞送金鑰的情况。問到伺服器的地理位置為何這樣關鍵,曾在Google負責處理亞太區的言論自由事務的徐洛文指出,當互聯網法(internet law)要定義管轄權在哪裏,很多時會視乎伺服器硬件在哪,「假設我們兩人都在美國,如果server在內地,北京政府可以claim server經過中國,懷疑徐洛文做了什麼(壞)事,可以跟你(Zoom)拿資料」。一方面可以引用正當法律途徑,另一方面亦更易竊取資料。

3. 密鑰不只用戶才擁有

徐洛文指出,一般人理解的end-to-end(端對端)加密,意即對話者以外沒有第三者(包括Zoom)能知道內容,密鑰只有端對端的用戶持有,報告卻發現Zoom也掌有密鑰,「如果政府找它,索取徐洛文與記者的對話,理論上它能給出來的」。回應公眾質疑,Zoom於四月初發布網誌,澄清公司的確使用end-to-end(端對端)加密,但概念上與大眾理解有差異,指所有與會者的加密必然牽涉自己的設備與Zoom的伺服器(all conference participants are required to use transport encryption between their devices and Zoom servers)。信息安全專家龐博文亦認為大眾對此存有誤解,坊間要求的規格實際上是更嚴謹的point-to-point(點對點),對兩者概念的混淆產生期望落差。

facebook登入 毋須電郵核實身分

信息安全專家龐博文近月同樣採用Zoom授課,認同Zoom的確有不足,舉例說,日前有保安專家撰寫文章解釋如何透過以facebook登入,輕鬆破解任何Zoom帳戶——輸入欲入侵的電郵地址後,只需複製網址中的一段編碼,貼在另一頁面的網址欄,便可跳過點開電郵核實身分的程序,成功入侵。龐博文批評:「Zoom(與facebook)溝通個code的方法不應該就這樣hard code(寫死)上去,只着重功能,沒考慮安全問題,不懂得安全編碼(secure coding)」。

但他深信天下間沒有一個軟件完全沒有安全漏洞,而且方便與安全往往如天秤兩邊的砝碼,此消彼長。例如Zoom為了方便用戶,開啟了原本預設關閉的「連接網絡瀏覽」權限,「比如對方給你一條URL link,它給你自動打開load埋出來給你看,方便你不用按。但如果是壞人,進行網絡釣魚就馬上中招」。同樣,就以上述連結facebook登入例子為例,原意一來方便軟件開發商借助外力核實用戶身分,用戶使用上也更方便,但若帳戶被入侵,所有連結的登入就如放到同一個籃子裏的雞蛋。

刪除Zoom即可堵漏洞?

Zoom有安全漏洞,有人以策安全,馬上刪除軟件。但有傳即使刪除後,仍可被有心人利用漏洞重新安裝程式,並強行打開鏡頭。龐博文指這不是沒可能,要完全清除一個軟件是非常困難的事,問道:「安裝時軟件會問你是否允許打開什麼權限,但刪除時會不會問你關不關?沒有的。」他解釋,許多開發商心態不負責任,「打開了權限,反正你要刪除我,我做咩要做咁多嘢,反正做不做都沒人知」。他指,權限其實可與其他應用程式共用,打開了通道,第三者可「假扮Zoom」跟設備連接,「沒有Zoom的其他功能,只有打開鏡頭的功能也可」,而且能在背景運行,用戶可以毫不知情。

刪除程式後應關掉權限

「給什麼價錢就會得到什麼,最安全當然是給好多錢,有專屬線路,有專用的軟件經過所有安全設施。現在要求的是人人可以用,最好免費,好難搞!」而當科技日新月異,未知的危險推陳出新,龐博文認為要解決問題不是換個軟件就得,當下最重要是做好公共信息安全普及教育,學習如何正確使用,保護自己,例如刪除程式後要到手機設定頁面將開放了的權限逐個關掉,「我們有個做法,逐個軟件逐個調校權限,像GPS要使用時才開」。

建議政府加強規管

龐博文認為樂觀地看,疫情令我們向前一步邁向智慧城市和全面電子化的世界。Zoom爆發資訊安全危機,也是一種契機,例如揭示私隱權和法制圈的管轄上可改善的空間。他建議各地政府強制開發商清楚公開將用戶資料傳到哪裏,用戶可據此選擇適合自己的軟件。第二,要訂明若公開的規格與事實不符,將有什麼罰則。第三,目前一些國家如新加坡、日本和中國都有跨境數據法,規定掌管牽涉重大公眾利益的醫療、金融等軟件,數據不可以離開國境及該國的法制圈,必須使用本地數據中心。相關規管可延伸至視訊會議內容,若跨境通話,則可由雙方協調選擇,甚至乾脆預設所有數據資料不作儲存。

安全貼士:先入waiting room 核准後才入「課室」

有黑客入侵新加坡一間學校的地理課,一名女學生上課期間見到畫面出現色情圖片及淫褻留言。為了確保線上課堂的參與者全是自己的學生,杜絕陌生人和黑客,龐博文分享他使用Zoom的做法:首先,只與他那一班學生分享自己的ID,提醒不可外傳。第二,強制學生Zoom名稱使用學生證號碼,以便核實身分。第三,善用waiting room功能,待他核實後才批准進入「課室」。第四,強制所有人預設打開鏡頭,進入「課室」時老師會代為關上,「但有需要的話我可以開」。

台灣經驗:善用開源碼 量身訂做合適平台

相對Zoom此類閉源軟件(closed source software),有人認為開源軟件(open source software)更為安全,因為原始碼完全透明,漏洞一目了然。台灣IT大臣唐鳳最近在網上點名稱讚公民科技社群「g0v.tw台灣零時政府」三月舉辦的「在家黑客松」,貢獻了很好的典範,「參與者Ronny使用開源軟體Jitsi Meet架設線上會議室,並整合共筆工具HackMD,讓參與者可以一邊看直播一邊即時共筆,Slack上的文字則串接成直播的彈幕,讓討論和回饋更即時」。

黑客松活動核心在於讓參與者提案,尋找協作伙伴,其他參加者可按自己的專長和興趣分組討論。身兼行政院資料開放諮詢小組委員的g0v參與者Ronny透過Jitsi接受視訊訪問,共享畫面向記者展示軟件「線上揪松」的使用。頁面中央的「主頻道」是YouTube直播畫面,由負責策劃「在家黑客松」的「揪松團」主持,首先播放流程與新手教學,接着就安排已預先報名的人透過共享畫面一個一個介紹自己的提案構思,畫面有文字串彈幕,顯示參與者的即時回饋。到提案時段結束,參加者可按入不同提案的「次頻道」開始討論,裏面可進行多人視訊通話,也可以使用共筆功能一同把重點寫下。

暫不適合網上課堂

Ronny指,軟件「線上揪松」的設計主要針對黑客松實際執行的動作,正在逐步改版,希望能應用於更多不同的場合,但他認為暫時不適合課堂操作,舉例說,老師授課時其他同學理應無法中斷其發言,但「線上揪松」設計上參與者角色較平等,任何人都可發言,並同時使用共筆,如作線上課室使用,則須依賴彼此自律。

配合自設伺服器 提高穩定程度

Ronny成功將幾項功能整合在一起,認為開源軟件的好處是可以按個別場合或活動需要量身訂做軟件,比詢求閉源軟件公司處理更為靈活。「線上揪松」開放使用,公眾可選擇直接登上網頁註冊帳號,開設自己的會議,亦可將原始碼複製下來,自行尋找伺服器把它裝進去,「唐鳳在辦公室架了自己的Jitsi,需要會議時就不是用Jitsi免費提供的server,而是自己架的,只有自己辦公室的人會用,不會因為Jitsi突然太多人用loading很高不穩定」。

這也點出了如學校教學採用開源軟件,必須處理的問題,「closed source軟件(如Zoom),通常都是那公司自己負擔server,由它的人幫你安裝和維護,open source只是開放software讓大家使用,但server的提供和維護還是要找人來做」。對此,徐洛文則認為大機構未必願意採用,「大機構好鍾意畀一嚿錢就一勞永逸,要好多人同時使用,要買好多部電腦來應付,要有一班IT人支援。一間大學咁大,未必一時間做到」。

文 // 潘曉彤

圖 // 受訪者提供

編輯 // 王翠麗

fb﹕http://www.facebook.com/SundayMingpao