【新闻教室】Zoom因加密不足与保安漏洞惹担忧　什么是Zoom炸弹？

受新型冠状病毒肺炎（COVID-19）疫情影响，不少学生及打工仔都要留家中，转为以视像会议软件“Zoom”在网络上课或开会。不过，软件异军突起同时，亦爆出不少安全漏洞，台湾政府、纽约市教育局、哈佛大学、Google及美国太空总署（NASA）等都相继宣布禁用。究竟软件本身有何问题？

Zoom炸弹（Zoom Bombing）

部分Zoom用户称，他们试过视像会议被陌生人“乱入”及捣乱，散播色情、反犹太、反同性恋及种族主义等讯息。

这类恶意行为被称为“Zoom Bombing”，大部分是因为用户不熟悉软件操作，没有将预设的公开模式改为私人模式。网络安全研究员克雷布斯（Brian Krebs）指出，Zoom会议的ID容易被自动化工具发现，让有心人不请自来闯入会议。

美国联邦调查局（FBI）指出，接到马萨诸塞州（Massachusetts）两所学校有关Zoom的报告。其中一宗报告指，一名身份不明人士乱入网上授课大叫，并在过程中高喊老师的家庭住址；另一宗事件中，有人乱入后向镜头展示“纳粹党徽”（Swastika）标志纹身。

视像会议纪录任睇

《华盛顿邮报》调查发现，成千上万的Zoom视像会议纪录并未受到保护，更可在网络上任人查看。报道指出，大量未被保护的内容中，包括讨论个人身份信息、公司财务报表及各种企业会议等。

保安漏洞多多

软件亦被发现有泄漏个人资料问题。只要用户打开手机上的Zoom应用程式，软件就会向Facebook传送用户时区、手机型号及硬件规格等资料。

Zoom又被发现两个漏洞，其中一个漏洞或允许黑客控制用户的麦克风及镜头；另一个漏洞使Zoom可以在MacOS上获得部分用户访问权限。

加密不足、未有“点对点”

加拿大多伦多大学的公民调查中心（The Citizen Lab）4月3日发表研究指出，Zoom的自家制系统加密有重大漏洞。研究指出，公司使用的加密钥，部分来自中国服务器公司，只采用128位元的金钥，与宣称的256位元加密有出入。

Zoom又承认，目前的视像会议未能做到真正的“点对点加密”。公司承诺会提供有关技术 ，但该要在几个月后才能使用。

中国因素

Zoom又承认由于过去几周的用户急增，为应对流量上升，错误把用户的会议分流到中国两间数据中心处理。公司强调已尽快修正漏洞，但没有指出有多少用户受影响。但公民调查中心的报告则质疑Zoom是一间“拥有中国心的美国公司”，不排除Zoom可能会被中国政府的压力左右，安全问题成疑，不建议涉及敏感资料的机构使用。

Zoom不时就种种问题解话、道歉并承诺作出改善，Zoom创办人兼行政总裁袁征（Eric Yuan）4月4日在《华尔街日报》的访问时称：“若我们再次有差池，那就‘玩完’了（If we mess up again, it's done）。”