美國對Zoom之資安風險管控
2020.04.24
瀏覽數
207
壹、新聞重點
2019年「新型冠狀病毒疾病」(COVID-19,以下簡稱武漢肺炎)疫情大幅提升全球遠距教學及工作的需求,連帶衝高美國視訊會議軟體Zoom的使用量。原先在2019年12月底疫情剛爆發不久,單日透過Zoom進行視訊會議服務的人數最多約有1千萬人,在2020年3月 Zoom的用戶已超過2億。不過,美國聯邦調查局(Federal Bureau of Investigation)在4月1日示警Zoom的資安風險,加拿大多倫多大學公民實驗室(Citizen Lab)於4月3日發佈報告,質疑Zoom採行的加密方式並非國際認證,且通話內容的密鑰會被發送到北京的伺服器。這些報告激起軒然大波,影響所及,相繼有美國國家航空暨太空總署(NASA)、紐約市教育局、參議院、谷歌公司等政府機關與企業已宣布停止使用Zoom。[1]
貳、安全意涵
一、Zoom的加密與後門程式仍是最大隱憂
為改進舊有的資料加密演算方式,美國國家標準暨技術研究院(National Institute of Standards and Technology)在2001年推出進階加密標準(Advanced Encryption Standard, AES)。其中,電子密碼本(Electronic codebook)由於在加密過程中,仍然將相同明文區塊轉換成相同的加密區塊,故資料隱蔽程度較低,比起AES其他加密措施,較不受資安專家青睞(參考下圖)。然而,多倫多大學公民實驗室的測試報告發現,Zoom實際上仍採用電子密碼本,使得數據曝光風險遠高於Zoom所宣稱,即使金鑰不被傳送至位於北京的伺服器,仍然有在途中被駭客或其他有心人士竊取的可能。[2]
圖、區塊加密模式示意圖
圖片說明:左圖為原圖,中圖為使用電子密碼本模式加密,右圖採取非電子密碼本加密形式傳輸資料。
資料來源:維基百科,https://bit.ly/3ewrxoe。
即使Zoom不再使用電子密碼本,但中國《密碼法》已於2020年1月1日正式實施,該法將「金鑰託管」(key escrow)予國家的原則奉為圭臬,授權監管網路的執法單位追究使用者危害國家安全的責任,以及鼓勵外商送交檢測加密技術。儘管Zoom總部位於美國,但在中國聘僱高達700人的研發人員,其APP更是由中國境內的「軟視軟體」等3家公司所開發,相關元件需要符合中國《密碼法》的規定,故Zoom對話內容難保不會落入中國政府手中。誠然,雖然目前尚未有中國政府要求取得Zoom金鑰的消息傳出,不過一旦中共透過正式或非正式管道監控並取得對話過程中,個別使用者的影像、聲紋、慣用語彙、臉部表情等大數據,將可用於訓練人工智慧影響他國政治正常運作。此點也正是為何美國政府限制美軍使用抖音,以防其成為數位監控和間諜網路程式的主要考量。[3]
二、干擾Zoom視訊會議的事件層出不窮
除了個人與教育機構帳戶外洩到暗網等主要資安風險,美國教育機構不鼓勵師生使用Zoom進行遠距教學的另個原因是「Zoom炸彈」(Zoombombing),該詞意指未受邀請的使用者藉由漏洞登入Zoom會議,惡作劇或散布色情影像與仇恨言論。對於層出不窮的Zoom炸彈,官方已經嘗試修改登入方法,比方說強迫所有會議需要設定密碼,並且必須獲得會議主持人同意。遺憾的是,有研究者發現此舉是治標不治本,因為美國網路上已出現組織性號召Zoombombing的社群,在Twitter、Reddit等平台上逕自徵求Zoom會議密碼,或者取得會議位置再暴力破解密碼以破壞遠距視訊課程。由此可見,如何整合跨社群與視訊軟體平台的管控機制,是政府或科技公司之間需要積極應對的方向。[4]
參、趨勢研判
一、Zoom危機處理重點將著重強化資安而非公關遊說
Zoom面臨排山倒海而來的壓力,甚至遭投資者提出法律訴訟,而Microsoft Teams、Cisco Webex Meetings等主要競爭者也趁勢搶奪市佔率與曝光版面。對於這些軟體母公司的質疑,Zoom執行長袁征接受《商業內幕》(Business Insider)專訪時表示,歡迎同業競爭,但他鄙視這種藉機炒作攻訐其他企業的行銷文化,而且堅持歷史終將證明何種企業作法是正確的。言下之意,Zoom似乎僅願意暫時專注在提升資安防護與使用效率等基本面,例如聘請臉書前首席安全官史塔莫斯(Alex Stamos)擔任其安全顧問委員會(security advisory board)外部顧問以昭公信。然而,Zoom似乎短期內,並不著重像是字節跳動、華為等公司一併採取的公關與遊說手段,來重塑商譽、改變消費者觀感、進而影響政府決策。Zoom一反常規的危機處理方式是否能夠奏效,還是終究得重拾遊說的老路,值得後續觀察追蹤。[5]
二、美國政府將會持續嚴加管制Zoom
然而,無論Zoom是否加強公關與遊說,殆無疑問的是,美國政府將不會受到沉沒成本(sunk cost)羈絆,會致力宣導與和執行對Zoom的使用禁令。儘管Zoom早已取得美國「聯邦風險與授權管理計畫」(Federal Risk and Authorization Management Program)安全認證,可以提供公職人員視訊會議、應用程式介面(Application Programming Interface)整合等服務;但基於前述資安風險,以及確保美國軍事技術優勢的前提,任何會讓中國網路間諜有機可乘的軟體,都可能會被排除在使用範圍外。因此,美國國防部於4月13日宣布實施Zoom禁令,禁止所屬專任與聘任人員使用Zoom討論國防機敏事務,惟可公開的資訊將不受此規定限制。衡諸未來發展,由於Zoom不像華為是中國跨國企業,全面制裁華為與否牽涉中美關係,加上美國政府與軍方之前對Zoom的依賴也不比對華為來得高,是故將難有反覆推遲禁令甚至恢復使用的狀況發生。[6]
[1] Bill Marczak and John Scott-Railton, “Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings,” Citizen Lab, April 3, 2020, https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/; 陳冠榮,〈Zoom 資安爭議懶人包,專家建議如何使用這套視訊會議服務較為安全〉,《科技新報》,2020年4月7日,https://technews.tw/2020/04/07/serious-zoom-security-flaws/。
[2] Bill Marczak and John Scott-Railton, “Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings,” Citizen Lab, April 3, 2020, https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/; 吳銘智,《低成本AES加密演算法的硬體設計與實現》,國立交通大學電信工程系碩士論文,2003年;郭昌華,《先進加解密標準演算法硬體電路之實現》,國立交通大學電子與光電學程碩士論文,2007年。
[3] 杜貞儀,〈中國《密碼法》之分析〉,《國防安全週報》,第80期,2020年1月3日:頁1-5;吳介聲,〈「抖音」是中共的網路間諜?談短片App資安爭議〉,《聯合報》,2019年8月6日,https://opinion.udn.com/opinion/story/120611/3973187。
[4] Kevin Townsend, “Zoom Credentials Database Available on Dark Web,” SecurityWeek, April 10, 2020, https://www.securityweek.com/zoom-credentials-database-available-dark-web; Chris,〈超前部署:對教育來說,Zoom 真正隱憂是 Zoombombing〉,《Inside硬塞的網路趨勢觀察》,2020年4月9日,https://www.inside.com.tw/article/19460-Zoombombing-is-the-real-worry。
[5] Ryan Browne,“Zoom faces investor lawsuit over privacy and security flaws,” CNBC, April 8, 2020, https://www.cnbc.com/2020/04/08/zoom-faces-investor-lawsuit-over-privacy-and-security-flaws.html; Paayai Zaveri, “Zoom CEO Eric Yuan on competitors and company culture,” Business Insider, April 11, 2020, https://bit.ly/2K5X0PX; Supantha Mukherjee, Akanksha Rana, Stephen Nellis, “Zoom hires ex-Facebook security chief as Google bans desktop app,” Reuters, April 8, 2020,https://in.reuters.com/article/us-zoom-video-commn-privacy/zoom-hires-former-facebook-security-chief-as-google-bans-desktop-app-idINKBN21Q1TY; Ben Brody, “Huawei Lobbying Spend Hits Record With Hire of Trump Fundraiser,” Bloomberg, October 22, 2019, https://www.bloomberg.com/news/articles/2019-10-22/huawei-lobbying-spend-hits-record-with-hire-of-trump-fundraiser; Ben Brody and Megan Wilson, “TikTok Revamps Lobbying as Washington Targets Chinese Ownership,” Bloomberg, November 12, 2019, https://www.bloomberg.com/news/articles/2019-11-12/tiktok-revamps-lobbying-as-washington-targets-chinese-ownership.
[6] 張蓉湘、吉普森、米歇爾·奎因、維達庫斯瓦拉,〈聯調局警告Zoom有安全風險 美國軍方和政府僱員仍在使用〉,《美國之音》,2020年4月11日,https://www.voacantonese.com/a/us-military-government-workers-still-use-zoom-despite-fbi-warning-20200410/5368244.html;“Zoom Achieves FedRAMP Moderate Authorization Oriana Pawlyk,” Zoom Blog, May 7, 2019, https://blog.zoom.us/wordpress/2019/05/07/zoom-achieves-fedramp-moderate-authorization/; “It’s Official: Most Zoom Versions Now Off-Limits to the Military,” Military.com, April 13, 2020, https://www.military.com/daily-news/2020/04/13/its-official-most-zoom-versions-now-limits-military.html。