连环爆发的安全问题让在线视频会议软件 Zoom 陷入多方声讨当中。
疫情期间,借由远程办公需求爆发式上涨,在北美广受欢迎的 Zoom 用户数量继续大涨,3 月份活跃数量同比上涨超过 150%。也正是因为这一原因,在全球股市遭遇疫情 “黑天鹅” 的时候,Zoom 的股价在 1 月 - 3 月期间涨幅超过 100%。
但近期集中曝出的几起安全事件让 Zoom 备受关注。
美国联邦调查局(FBI)波士顿办公室本周一发布了一份关于 Zoom 的警告称,由于此前发生了多起身份不明的人入侵学校网络课程的事件,提醒用户不要在该网站上进行公开会议或广泛分享链接。
(来源:FBI)
更严重的问题还在后面,美国当地时间 3 月 31 日,美国调查新闻网站 The Intercept 发布一篇报道指出了“严重的隐私和安全问题”,称 Zoom 并未遵循自家的承诺为用户的会议内容进行端到端加密处理(End-to-end encryption),外界质疑这意味着 Zoom 将有能力直接接触到用户数据,引发广泛担忧。
同一天,美国媒体 Vice 报道称 Zoom 泄露了成千上万用户的电子邮件地址和照片,且不少用户发现自己在使用时允许陌生人互相发起电话连接。针对这一问题,Zoom 表示已经进行了处理。
在质疑声下,SpaceX 已经在一份电邮中已要求其员工立刻停止使用 Zoom,美国国家航空航天局(NASA)一位发言人表示,该机构也已禁止其员工使用 Zoom。
科技媒体 The Verge 前一天还在报道中介绍这款远程办公软件,手把手教学如何使用 Zoom 进行远程办公,而后一天就在报道中质疑 Zoom 的安全性,同时推荐用以替换 Zoom 的会议软件。
端到端加密危机
视频会议服务 Zoom 在新冠疫情蔓延期间使用量激增,该公司宣称将实施视频端到端加密,这被广泛认为是最私密的互联网通信方式,能有效保护用户的通信内容不被第三方(包括 Zoom 自己)接触到。
但据 The Intercept 报道,实际上 Zoom 仅在部分文本信息和部分模式的音频中使用了端到端加密,而在至关重要的视频和电话通信方面则并未使用这一加密方式。
事实上,Zoom 在一份官方文件中承诺,将使用端到端方式对会议内容进行加密,甚至是在加密模式下使用该应用进行视频会议时,界面上方还有 “正在使用端到端加密” 的字样。
(来源:The intercept)
但被问及视频会议是否在实际上通过端到端加密时,Zoom 的发言人表示:现阶段,不可能为 Zoom 平台上的视频会议启用端到端加密。
在端到端加密的模式下, 视频和音频内容需要经过加密处理,而只有会议的参与者才拥有密钥,有能力对数据进行解密。在这过程中,Zoom 虽然可以访问到加密内容, 但由于不掌握密钥而不具备解锁的能力。
在实际的运营中,Zoom 在保护会议视频内容的加密方式是 TLS (Transport Layer Security,传输层安全协议),这意味着,用户在电脑或手机上运行 Zoom 时,设备端到 Zoom 的服务器之间时加密的。但不同于端到端加密的关键点在于, Zoom 自己具备访问到未被加密的视频和音频内容的能力。
因此简单来说,采用 TLS 加密方式下,用户的视频或音频内容可以防止被第三方窃取,比如通过 WIFI 监视的方式,但这些内容和数据并不能在 Zoom 这里保证安全。
在这一问题上,Zoom 回应称,Zoom 不能直接访问、窃取和出售用户数据。
(来源:Zoom)
Zoom 发言人解释道,公司在文件中提到的 “端到端” 指的是不同的 Zoom 端点之间的加密。这种说法是将 Zoom 的服务器视作是一个端点,这种做法和以往的常规理解并不相同。
约翰 · 霍普金斯大学的密码学家和计算机科学教授 Matthew Green 指出,多人参与的在线视频本身是很难进行端到端加密的,这是因为平台需要在会议过程中识别哪个用户正在通话,并将这名用户的高分辨率视频流分发给其他参会者,而对于其他的未讲话的参与者,平台只会提供低分辨率的视频流。
实际上这是优化用户体验的一种方式,但这种优化需要在未加密的情况下才能更轻松实现。
“如果都是端到端加密,你需要更多额外的步骤。”Matthew Green 表示,“这是可行的,但并不容易。”他指出,苹果在自家的视频通话软件 Facetime 上就使用了端到端加密。对于 Zoom 的疑似欺瞒行为,他表示,Zoom 在端到端加密的解释上有点模糊。
而经过 Zoom 确认,在用户通过文本进行沟通时,Zoom 会对内容继续提供端到端加密。“当开启聊天端到端加密时,密钥储存在本地的设备上,Zoom 自己是无法进行读取的。”麻省理工科技评论曾尝试联系 Zoom 但未获及时的回复。
针对多方面的媒体质疑,Zoom 在一份回应中表示,Zoom 只在有需要的时候才从个人用户处收集数据,目的是尽可能高效地提供和确保服务。Zoom 必须收集基本的技术信息,比如用户的 IP 地址、操作系统和设备信息等。
为了保护用户的隐私,Zoom 采取了分层保护的措施,其中包括了 Zoom 公司内任何员工都无法直接访问用户在会议期间分享的任何数据,包括但不限于会议的视频、音频和聊天内容。Zoom 不会挖掘用户数据,更不会向任何人出售任何类型的用户数据。
(来源:Threatpost)
不过在广泛的质疑下,Zoom 在疫情期间取得的增长可能难以持续,包括 SpaceX 和 NASA 停止使用这一软件之后,事件影响可能还会继续扩散,而在问题最终解决之前,对 Zoom 在安全问题上的担忧则可能对广泛的用户产生影响。
除此之外,有媒体指出,正是没有端到端加密,Zoom 在理论上具有监视私人视频会议的技术能力,外界担心,这一缺口的存在,Zoom 可能会被迫根据法律法规将视频和音频资料交给政府和执法部门。
不过因为到目前为止,Zoom 并未像微软、谷歌等公司一样发布自家的透明度报告,因此无从得知是否有国家和政府对 Zoom 提出获得用户数据的请求。目前,已有人权组织开始呼吁 Zoom 公布透明报告,帮助用户了解该公司究竟是如何保护他们的数据。
“华裔软件”
Zoom 一定程度上是一家流着中国血液的美国公司。
Zoom 的总部位于美国加州圣荷西,创始人袁征曾在中国完成了本科和硕士阶段的学习后才到美国成为一名工程师。
2011 年,袁征离开思科公司,创立了 Zoom 开始单干。创始人的华裔身份对公司的发展产生了巨大的影响,事实证明,Zoom 在中国拥有庞大的研发队伍,恰恰为其节约了很大的成本。
在 2019 年上半年,Zoom 在 IPO 招股书中披露, 其大部分产品开发人员都在中国。招股说明书显示,Zoom 在中国的多个研发中心雇用了 500 多名员工,约占其员工总数的 30%,占其非美国员工总数的 70%。
Zoom 直言,“我们的产品开发团队主要在中国,那里的人力成本比其他许多地区的成本都要低。如果我们将产品开发团队转移到其他地区,那么我们可能需要承担更高的运营费用,这将对我们的运营利润率造成不利影响,并损害我们的业务。”
根据当时招聘网站 Glassdoor 的数据,中国入门级软件工程师的平均年薪约为 3.435 万美元,是美国同行年薪的三分之一(圣何塞的年薪为 11 万美元)。
Zoom 这一做法成功也被称为是 “中式 996” 红利。