Zoom （及其他視訊軟體）的資安疑慮初步事實檢核Fact check on Securities Issues on Zoom (and its competitors)

網絡上各種媒體對Zoom的報導，經過今天初步事實檢核fact check後，發現Business Insider的新聞和網絡上多數網站的關於《紐約市教育單位禁止使用Zoom》新聞來源，都來自一個叫Chalkbeat的網站，而Chalkbeat是一個自稱是非營利的教育媒體公司（Inc.）。Chalkbeat關於Zoom的報導中，他們宣稱根據一個紐約市校長所得到的正式文件，告知紐約市教育單位根據資安報告而宣布禁止學校老師使用Zoom，但Chalkbeat網站上沒有任何正式文件的照片或檔案。昨天，臺灣行政院正式要求所有政府機關不得採用Zoom，因為教育部所架設的Zoom視訊會議網站，也宣告暫停了。

由於疫情關係， Zoom是目前最為矚目的視訊軟體，很多專家開始拿放大鏡來檢視Zoom（大概和創辦人本身有美籍中裔移民身份有關）。目前專家所提出的資安問題主要有：

1.       Zoom 的點對點加密技術並不存在。

2.       Zoom 的會議ID 容易被破解，用戶的會議隨時被洩露

3.       Zoom部分伺服器位於中國，用戶視訊資料可能會留在中國。

為了公平起見，這裡一併比較市面上常用的視訊軟體資安方面的表現。

在加密部分（也是資安人員最關注的部分），雖然網絡上有人（包括中研院人員）宣稱Zoom預設有端對端加密(end to end encryption)功能，用戶只需要沒有關閉有關設定即可。實際上，經過查證，Zoom本身並沒有進行端對端加密，有的是TLS加密技術（Adobe Connect也是用TLS），TLS（Trasport Layer Security）是一種目前常見於網站的資訊加密技術，一般網站加密HTTPS也是用這種技術。事實上，即使微軟、Google和Adobe公司也沒有在視訊軟體上做到端對端加密的程度（Cisco和Cyberlink做半套）。所謂端對端加密，是指除了會議主持人和使用者互相可讀取資料之外，任何人（包括軟體服務供應商）都無法讀取中間各方傳遞的資料。微軟採取的加密方式，則容許微軟在微軟伺服器可以讀取會議資料，微軟的說法是為了協助恢復用戶損毀的資料。至於Google公司，目前Google旗下的只有聊天視訊軟體Duo可以端對端加密，教育部建議的Google Hangouts Meet則沒有端對端加密，可惜Duo目前只限12人共同視訊，且功能相對有限，缺乏一些實用的會議功能。而且，過去Google也不斷通過挖掘用戶資料來營利，所以用戶視訊數據對Google來說是多麼「珍貴」。當然，更多人願意推薦Google和微軟，無非是因為這幾家公司龐大到「相對可信」。所以，現在商業戰場有人要打擊Zoom，不讓Zoom這家公司也一樣成長到這樣的程度，是可以理解的。回過頭來，若真的要做到端對端加密，商用軟體唯有Apple Facetime，但前提是所有人要買Apple電腦或手機（貴是另一個問題）。另一個有端對端加密的是Jitsi Meet，這是開源軟體，主要提供整套程式碼讓機構可以自己架設伺服器，開源社群中有一個示範用途的免費版，目前架在微軟雲端Azure。

至於會議ID的部分，由於Microsoft Team和Apple Facetime基本是邀請認識的人一起視訊，沒有把ID展露的必要，也因此沒有這方面的資安疑慮。Jitsi，Cyberlink和Zoom一樣使用數字而已（Zoom官方稱新版的Zoom已經將ID隱藏了），其他則用英文字加數字，資安程度當然相對比較高，比較不容易被駭客用程式掃描到。如果在會議上要做到防止外人偷偷加入並偷錄畫面，會議主持人只需要加上會議密碼即可（盡可能長一點的英數字密碼，且每次密碼不一樣即可。等駭客掃描到你所主持的會議頻道，再等他破解你的密碼時，你的會議可能已經結束了。

至於伺服器位置，Zoom公開承認在流量暴增時期，用戶有機會會轉而使用中國的伺服器，其他軟體則沒有提到這個問題。Cisco稱臺灣Cisco用戶的伺服器在歐洲（某非上次我在工作時的會議感覺有點慢就是因為這個原因？）。微軟和Google也都稱其伺服器不在中國，但Google的說辭比較可信，原因是Google確實在中國沒有提供服務，連進軍中國都困難重重，而微軟的雲端服務Azure有開拓中國業務，因此很難相信流量暴增時微軟不會使用位於中國的伺服器。Cyberlink和Adobe的伺服器目前看來只在美國和歐洲，雖然較為沒有資安疑慮，但同時比起距離歐美較近的國家，從臺灣連線的大眾可能在連線速度和畫質上會比較吃虧。

總的來看，除非有其他更新且更明確指出Zoom相對其他而言比較不安全的證據，否則目前行政院的動作應該是一種政治考量。作為教學用途的話，視訊軟體是否需要顧慮其軟體使用中國伺服器，其實還有待商榷。另外，看起來比較安全的Jitsi也有不安全的地方，因為Jitsi是開源軟體，駭客可以透過反向工程(reverse engineering)的方式，找到資安漏洞。這時，似乎只剩下Apple Facetime在資安方面足夠滿足各種要求，但前提還是需要全部更換一批硬體（Iphone，Mac電腦）。至於市面上有沒有普及且安全可立即使用的視訊軟體，我的結論是如果要選擇相對安全的方案，只能完全更換一批硬體用Apple，同時接受功能比較不符合會議需求的Facetime，否則就得按照個別在資安方面可接受的程度來選擇。比方說，拒絕使用位於中國伺服器的使用者，可選擇暫時免費的Cisco Webex和Google Hangouts Meet。有能力者（經濟和資訊能力），則在自己付費的伺服器上架設Jitsi Meet。

後話，若要考量政治因素和科技因素，除了花錢的方法I（購買Cisco Webex企業版或Cyberlink企業版或購買Apple產品）之外，臺灣科技部可以自組國家隊寫程式（繼口罩國家隊之後，再衝出一個國家隊～），然後在臺灣自架伺服器，供所有人使用，同時不公開原始碼。當然，在緩不濟急的情況下，建議各大學先以開源軟體Jitsi來架設一個臨時視訊網站，暫時提供教學和會議，等科技部自行編程的軟體完成架設再通知大家改用。那中小學怎麼辦？大概臺灣政府對中小學應該沒有任何資安方面的高要求，如果高要求的話就會馬上幫忙中小學架設Jitsi Meet，不會要中小學自己看著辦，否則各中小學就按照以上對各個軟體的優劣勢分析與相應的熟悉程度來選擇吧。

2020.04.07 18:54

2020.04.07 23:01 增加Cyberlink和Adobe的資料

參考資料：

1.       Chalkbeat (2020.04.05). NYC forbids schools from using Zoom for remote learning due to privacy and security concerns. https://chalkbeat.org/posts/ny/2020/04/04/nyc-forbids-schools-from-using-zoom-for-remote-learning-after-privacy-concerns-emerge/

2.       The Intercept. (2020.03.31). Zoom Meetings Aren’t End-to-End Encrypted, Despite Misleading Marketing, https://theintercept.com/2020/03/31/zoom-meeting-encryption/

3.      Apple (2019.12.27) iMessage and FaceTime & Privacy. https://support.apple.com/en-us/HT209110

4.       Cisco Webex (2019.04.11) What Does End-to-End Encryption Do? https://help.webex.com/en-us/WBX44739/What-Does-End-to-End-Encryption-Do

5.       Microsoft (2020.04.07). Security and compliance in Microsoft Teams. https://docs.microsoft.com/en-us/microsoftteams/security-compliance-overview

6.       Microsoft (2020.02.07). Location of data in Microsoft Teams https://docs.microsoft.com/en-us/microsoftteams/location-of-data-in-teams

7.       Apple (2013.06.13). Apple’s Commitment to Customer Privacy . https://www.apple.com/apples-commitment-to-customer-privacy/

8.       Google (unknown). Your calls stay private with end-to-end encryption . https://support.google.com/duo/answer/9280240?hl=en

9.       JItsi (unknown). https://desktop.jitsi.org/Documentation/VoiceCall

10.   Zoom (2020.04.07) New Updates for Windows https://support.zoom.us/hc/en-us/articles/201361953-New-updates-for-Windows

11.   Cisco (2020.03.23). Data Residency in Cisco Webex Teams https://help.webex.com/en-us/oybc4fb/Data-Residency-in-Cisco-Webex-Teams

12.   Zoom (unknown). Encryption for Meetings. https://support.zoom.us/hc/en-us/articles/201362723-Encryption-for-Meetings

13. Eric Yuan, Zoom (2020.04.03) Response to Research From University of Toronto’s Citizen Lab. https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/