Pages

Monday, 30 March 2020

Zoom有保安漏洞 远程视像通讯工具首选Jitsi

问:受武汉肺炎疫情影响,令很多人都要在家上班,甚至远程会议都改为以视像进行,Zoom可谓近年全球最热门的视像会议软件,甚至不少大学都用Zoom线上教学。只不过,英国国防部以网络安全理由,禁止使用Zoom作部门会议之用。究竟Zoom有甚么问题?

李建军:Zoom对保安问题的态度十分之散漫,甚至设计上有制造保安漏洞之嫌。譬如,Mac版的Zoom会在未经用户同意下,在用户的电脑自行装设网页主机,这个就有可能造成私隐泄漏,这个问题发现了十分久,但Zoom一直未有改善,苹果要透过推出作业系统更新,强行移除Zoom的网页主机软件,最后才算解决了问题。光是Zoom这种态度,就已经令不少人难以安心。

而Zoom的创办人,是由中国移民到美国,后来归化入籍的华人,曾经有被美国拒绝移民签证  纪录。由于海外不少由中国移民到美国的华裔人士仍然与中国有千丝万缕的关系,甚至有些仍然与中国当局紧密合作,这种情况下,难免令人担忧使用Zoom会对国家安全造成不利。如果你参与维权运动,或者与海外的人权或维权组织开会,其实都不大适合用Zoom进行视像会议。反而建议使用其他开放源码的软件,因为开放源码之下,所有源码的内容都会经过各方审核,很难加入一些可疑的软件和内容,相对更加安全可靠。

问:现时有哪一款开放源码软件,可以做到类似Zoom的功能?在召开一些比较敏感、保密的会议时,可以大派用场?

李建军:有一款开放源码的免费视像软件叫Jitsi,该款软件已经有一定历史,使用上相当普及,网上的技术支援文件也相当多,架设十分容易,目前除了有Android版和iOS版的下载软件,还有在线实时会议功能。而由于Jitsi并不涉及任何企业,因此,亦不怕任何第三方机构取得你的个人资料用于其他用途。

Jitsi是暂时公认最安全的视像会议开放源码系统,只不过现时很多大企业和大机构还未有心理准备,连视像会议系统都改用开放源码的系统,再加上不及Zoom为收费用户提供更多支援服务,因此Jitsi在商业上未占优势。

问:Zoom存在资安漏洞,但假如工作需要只能使用Zoom又能怎办?

李建军:首先,你使用Zoom的电脑,应尽量避免用于处理或储存敏感资料,以免出现资料泄漏问题。另一方面,现时Zoom的最大威胁,是有可能被一些未经授权的人取用你的电脑视像镜头,因此,你可以考虑用胶纸封闭视像镜头来保障自己的私隐,因为縰使黑客能远程秘密开启你的镜头,都看不到任何东西,也就不能对你进行监控。

如果你要使用手机来进行视像会议,那么基于iOS的软件审查制度以及作业系统架构,使用iOS版的Zoom会略为安全。iOS版的Zoom很难越过审查机制安装一些古怪软件入系统。另外一提,虽然大部分情况下,软件的iOS版和Mac版安全程度相若,但这个情况在Zoom上是例外,Mac版的Zoom并不安全。如果可以选择的话,请尽量使用iOS版,而避免使用Mac版,因为未知Zoom有否使用更多Mac的系统漏洞,来安装一些奇怪的木马软件。