雖然在疫情之下 Zoom 用戶數量急增,但同時也被眼尖的保安專家狙擊。早前被發現將用戶資料傳送到 Facebook 餘波未了,有用戶在美國提出集體訴訟;另一方面,又有傳媒披露 Zoom 雖然對外宣傳使用端對端加密,但原來視像會議並非如此,惹來誤導公眾之嫌。
一位美國人 Robert Cullen 剛剛代表其他 Zoom 用戶向美國加州法院提出訴訟,指 Zoom 違反了加州的數據保護法,未得用戶同意就將用戶個人資料交給 Facebook 。原告人認為, Zoom 無法保證已交給 Facebook 的資料能否被刪除。
事件源自上周末美國傳媒 Motherboard 披露 Zoom 的 iOS 版採用 Facebook SDK 來提供 Facebook 登入功能,但那個 SDK 原來會將用戶資料包括 IP 地址、時區、 iOS 版本、語用、裝置類型、網絡供應商等資料傳到 Facebook 。雖然 Zoom 已趕緊在周末推出更新移除 Facebook SDK ,但仍然難逃被控告的命運。
端對端加密並不完整?!
一波未平一波又起,另一傳媒 The Intercept 又揭露 Zoom 雖然經常宣傳他們採用端對端 256 位加密,不過原來視像會議並非端對端加密的, Zoom 的人員有機會截取到視像會議的內容。
一般認知的端對端加密,是指信息在用戶的電腦內加密後才傳送出去,只有接收端才能解密,服務供應商手上並沒有加密密鑰,所以就無從得知通信內容。不過 Zoom 的發言人在接受傳媒查詢時就表示:「現時不可能在 Zoom 視像會議中使用端對端加密。」
雖然 Zoom 也是使用 TLS 加密方式,加密強度上是足夠的,不過視像會議的加密流程就沒有達到一般認知的端對端水平。 Zoom 方面強調他們沒有誤導用戶,他們所說的端對端加密,原來是指 Zoom 的端點(例如伺服器)與另一個 Zoom 的端點之間,內容沒有在 Zoom 的雲端傳輸期間被解密。
另一方面,在會議期間進行的文字聊天就採用端對端加密, Zoom 表示他們沒有密鑰可以解密那些文字信息。
Zoom 強調他們只會為改善服務而收集用戶資料,包括 IP 地址、 OS 資料和裝置詳情,並不容許員工取用特定會議的內容。他們也強調不會售賣用戶任何類型資料,但就會應法庭訴訟要求提供會議錄影紀錄。