[新聞] Zoom爆資安疑慮好可怕?台大電機系教授葉丙成揭真相
三立新聞網
記者李鴻典
Zoom爆資安疑慮好可怕?台大電機系教授葉丙成揭真相
2020/04/07 14:14:00
記者李鴻典/台北報導
武漢肺炎全球肆虐,讓視訊會議平台Zoom用戶大增,不過,近日卻傳出恐有資安問題,對
此,台大電機系教授葉丙成在臉書發表長文【Zoom 好危險、好可怕?!】,他在文中提
到,任何軟體都有洞,「如果你有真正很機密的事情,我會勸你,別說 Zoom,其他的視
訊軟體通通都不該用。那才是真正的安全!」他還直言,在台灣,Zoom的資安問題,已經
不是技術問題,而是政治問題。
以下為葉丙成在臉書發表的【Zoom 好危險、好可怕?!】全文:
最近好幾位朋友問我對於 Zoom 視訊會議軟體資安問題的看法。但我一直沒有想說什麼。
主要的原因是,我對 Zoom 台灣帳號的收費比美國帳號貴,拎北覺得很不爽。所以當
Zoom 被譙的時候,我也懶得說什麼。
但這段期間,網路上對於視訊會議資安問題的報導沸沸揚揚,甚至還變成反對數位教學的
人士用來反對線上補課的論述。而且所謂的「資安威脅」,我看到有很多點是過度解讀,
甚至有的說法已經到了反智的地步。
有的學校還因此被教育局處長官要求不能用 Zoom,原先的數位準備全部被打亂。
這一切實在讓我看不下去。
所以雖然我知道跟風向不同,我想我還是要說一下我的看法。
先看一下國外知名科技網站 Tom's Guide 針對 Zoom 的資安問題所做的報導,結論是:
"We disagree with that decision, because we think Zoom is safe to use for
meetings that aren't highly sensitive. For school classes, after-work
get-togethers, or even workplace meetings that stick to routine business,
there's not much risk in using Zoom."
結論就是,除非你是英國國防部、SpaceX、或是高科技公司、等這類要討論高度機密的人
,不然對於教學、或是一般商務的會議而言,用 Zoom 沒有太大風險 (quote: not much
risk in using Zoom)。
那大家一直在傳的資安問題,到底是怎麼回事?這裡面有很多,坦白說真的很瞎,我先抓
幾點來說:
1. Zoom Booming:
不是說有什麼 Zoom Bombing 很可怕,用 Zoom 開會上課到一半,會出現有駭客駭入會議
突然丟色情照片擾亂。Zoom 也太糟糕了,居然會被人這樣駭入,太糟糕了!
等等,你有沒有去了解過 Zoom Bombing 是怎麼來的?Zoom 的會議室可以設密碼。但為
了方便大家連進來開會,大部分使用者都省略不設密碼,直接把會議室號碼/連結傳給大
家。有的人把會議室號碼/連結流出給不相干的人,不相干的人進來亂。這叫做「駭入」
?
靠杯喔,你在外面租「小樹屋」的房間開會,門有鎖可以鎖而你不鎖,被無聊人士闖進來
丟色情圖片,這叫被駭入?你叫小樹屋要負責?!
以臉書社團為例,你開一個臉書社團,然後你自己不設成私密而設公開讓每個人都可以進
得來。然後有人進來亂貼直銷廣告、色情照片,你怎麼不說是臉書資安有問題被人「駭入
」?明明就是你自己社團權限沒管控好,不是臉書害你被駭啊。
那為什麼你 Zoom 要開屬於你們自己人的會議,然後你都不設密碼,也沒有告誡大家會議
室號碼不要給不相干的人。然後被不相干的人闖進來,你才在哭說是軟體有問題害你被駭
?
我也是傻眼了。
根本就是使用者貪圖方便不設會議室密碼啊!
(據說 Zoom 已經自動生成密碼了,以後這種使用者自己不設防的問題應該就會解決)
2. 安裝檔有惡意軟體:
Tom's Guide 上面有說到,有的 Zoom 安裝軟體可能會被連帶偷裝幫人挖礦的程式,造成
系統的問題。但 Tom's Guide 也說,這個責任不是 Zoom 的錯,因為任何人都有可能製
作出這種惡意的安裝檔給別人下載安裝。
許多人說這是資安問題,我又傻眼了。
每個人都應該要有最基本的資安素養:要安裝軟體,要從官方網站下載,不要從非原廠網
站下載來源不明的程式安裝。
Zoom 你不去人家官方網站下載來裝,你偏偏要偷懶從人家給你的來源不明的安裝檔去安
裝,結果電腦免費幫人挖礦,你說是誰的錯?如果你就是有這種糟糕習慣的人,你用其他
軟體也會幫人家免費挖礦,不會只有 Zoom。
這根本就是使用者偷懶不去官方下載啊!
要安裝軟體,請從官方網站下載。這是常識,OK?
3. 聊天室點了惡意連結,導致系統被駭中毒:
講到這個,我又傻眼了。來源不明的連結不可以點,這你不知道嗎?你在 Line、在
Chrome、在 IE、在 Safari 點了來源不明不該點的連結,會不會中毒?你都知道來源不
明連結點了會出問題,那你為什麼在 Zoom 聊天室還要去點來源不明的連結,然後出事了
才說是 Zoom 資安有問題被駭?
這根本是使用者手癢亂按不明的連結啊!
------------
最後,我再來談談真正最重要的資訊安全原則是什麼。
真正的資訊安全,就是要假定任何地方都可能出錯,有機密性的東西都完全不該在網路上
跟人家談。
你今天用 Meet 或 Team 跟別人視訊會議,就會安全?我也是笑笑了。你今天跟人家視訊
會議,說的任何話,都能夠被人錄製桌面而錄下來,事後流出去。
所以真相是,只要你是用視訊會議或網路軟體跟人談事情,不管你是用哪一家的,你都沒
有真正的資訊安全。真正的安全是,機密的事情要跟真人實際面對面的口頭談,才會安全
。
喔是嗎?你確定對方身上沒有偷裝錄音機?你要不要搜身一下才能確定真正安全?
如果你是做高科技技術的公司、或是高階政府單位,有高機密性的資訊,原本就不應該用
任何視訊會議來傳達。很多國際大企業都用美國思科 Cisco 的 Webex 系統,相對比較安
全。話說 Webex 是誰開發的?就是 Zoom 的創辦人當年所開發的,他離開 Cisco 之前去
創立 Zoom 之前,是副總裁。國際大企業過去十幾二十年都用這個人的東西,這個人有沒
有問題,這是個參考指標。
任何軟體都有洞,你個別搜尋各家軟體公司的名字 Google, Microsoft, Line,
Facebook, Apple 再加上「資安漏洞」,你都會看到每個軟體都有洞。越多人用的軟體,
越有機會被大家找出洞來,也越有機會讓洞被補起來,而變得越安全。
以最多人用的微軟為例,這麼多年來的「資安漏洞」、「被駭風險」的新聞不多嗎?
Zoom 這段期間因為許多人大量使用,所以被看到的洞自然就比較多(雖然有很多洞我認
為根本上是使用者習慣的問題),之後就看他們是否有補起來。現在的觀察是,我看他們
最近的更新滿頻繁,看起來是有努力在把一些洞補起來。
------------
最後的最後,你問我說我會不會改用其他會議軟體?
從資訊安全的角度來說,如同國外網站說的,並沒有太大的風險。但在台灣,卻被炒作到
好像用了電腦就完了。更別說當中很多的風險,都是使用者自己資安習慣不好,用其他軟
體也會遇到的。
我的看法是,在台灣,Zoom 的資安問題,已經不是技術問題,而是政治問題。
Zoom 的創辦人來自中國,但他的主要資金來源還是美國的資本市場,Zoom最大外部股東
是Emergence Capital,持股12.5%。紅杉資本持股11.4%。跟華為的資金來自政府是不同
的。我不覺得 Zoom 有必要亂搞去得罪他在美國的眾多金主投資人。
所以,我會繼續用。反正我也沒有什麼高機密在網路上跟人家說。真正有什麼很機密不方
便在網路上說的事,就來找我喝咖啡再當面聊吧!
如果你有真正很機密的事情,我會勸你,別說 Zoom,其他的視訊軟體通通都不該用。那
才是真正的安全!
https://www.setn.com/News.aspx?NewsID=721197
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.171.107.157 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1586279947.A.1F2.html
→
04/08 01:19,
4年前
, 1F
04/08 01:19, 1F
推
04/08 01:20,
4年前
, 2F
04/08 01:20, 2F
推
04/08 01:21,
4年前
, 3F
04/08 01:21, 3F
推
04/08 01:21,
4年前
, 4F
04/08 01:21, 4F
→
04/08 01:21,
4年前
, 5F
04/08 01:21, 5F
噓
04/08 01:21,
4年前
, 6F
04/08 01:21, 6F
推
04/08 01:21,
4年前
, 7F
04/08 01:21, 7F
噓
04/08 01:22,
4年前
, 8F
04/08 01:22, 8F
推
04/08 01:22,
4年前
, 9F
04/08 01:22, 9F
推
04/08 01:22,
4年前
, 10F
04/08 01:22, 10F
→
04/08 01:22,
4年前
, 11F
04/08 01:22, 11F
噓
04/08 01:22,
4年前
, 12F
04/08 01:22, 12F
噓
04/08 01:22,
4年前
, 13F
04/08 01:22, 13F
→
04/08 01:22,
4年前
, 14F
04/08 01:22, 14F
→
04/08 01:22,
4年前
, 15F
04/08 01:22, 15F
→
04/08 01:22,
4年前
, 16F
04/08 01:22, 16F
噓
04/08 01:22,
4年前
, 17F
04/08 01:22, 17F
→
04/08 01:23,
4年前
, 18F
04/08 01:23, 18F
→
04/08 01:23,
4年前
, 19F
04/08 01:23, 19F
推
04/08 01:23,
4年前
, 20F
04/08 01:23, 20F
推
04/08 01:24,
4年前
, 21F
04/08 01:24, 21F
→
04/08 01:24,
4年前
, 22F
04/08 01:24, 22F
推
04/08 01:24,
4年前
, 23F
04/08 01:24, 23F
→
04/08 01:24,
4年前
, 24F
04/08 01:24, 24F
→
04/08 01:24,
4年前
, 25F
04/08 01:24, 25F
→
04/08 01:24,
4年前
, 26F
04/08 01:24, 26F
噓
04/08 01:24,
4年前
, 27F
04/08 01:24, 27F
推
04/08 01:24,
4年前
, 28F
04/08 01:24, 28F
推
04/08 01:25,
4年前
, 29F
04/08 01:25, 29F
→
04/08 01:25,
4年前
, 30F
04/08 01:25, 30F
→
04/08 01:25,
4年前
, 31F
04/08 01:25, 31F
→
04/08 01:25,
4年前
, 32F
04/08 01:25, 32F
推
04/08 01:25,
4年前
, 33F
04/08 01:25, 33F
噓
04/08 01:25,
4年前
, 34F
04/08 01:25, 34F
→
04/08 01:25,
4年前
, 35F
04/08 01:25, 35F
噓
04/08 01:26,
4年前
, 36F
04/08 01:26, 36F
→
04/08 01:26,
4年前
, 37F
04/08 01:26, 37F
→
04/08 01:26,
4年前
, 38F
04/08 01:26, 38F
噓
04/08 01:26,
4年前
, 39F
04/08 01:26, 39F
還有 122 則推文
推
04/08 08:09,
4年前
, 162F
04/08 08:09, 162F
推
04/08 08:19,
4年前
, 163F
04/08 08:19, 163F
推
04/08 08:26,
4年前
, 164F
04/08 08:26, 164F
噓
04/08 08:30,
4年前
, 165F
04/08 08:30, 165F
推
04/08 08:33,
4年前
, 166F
04/08 08:33, 166F
噓
04/08 08:40,
4年前
, 167F
04/08 08:40, 167F
→
04/08 08:43,
4年前
, 168F
04/08 08:43, 168F
推
04/08 08:55,
4年前
, 169F
04/08 08:55, 169F
噓
04/08 08:59,
4年前
, 170F
04/08 08:59, 170F
推
04/08 08:59,
4年前
, 171F
04/08 08:59, 171F
推
04/08 09:00,
4年前
, 172F
04/08 09:00, 172F
→
04/08 09:01,
4年前
, 173F
04/08 09:01, 173F
噓
04/08 09:04,
4年前
, 174F
04/08 09:04, 174F
→
04/08 09:04,
4年前
, 175F
04/08 09:04, 175F
噓
04/08 09:09,
4年前
, 176F
04/08 09:09, 176F
推
04/08 09:11,
4年前
, 177F
04/08 09:11, 177F
噓
04/08 09:30,
4年前
, 178F
04/08 09:30, 178F
噓
04/08 09:33,
4年前
, 179F
04/08 09:33, 179F
噓
04/08 09:44,
4年前
, 180F
04/08 09:44, 180F
推
04/08 09:51,
4年前
, 181F
04/08 09:51, 181F
推
04/08 10:04,
4年前
, 182F
04/08 10:04, 182F
噓
04/08 10:10,
4年前
, 183F
04/08 10:10, 183F
→
04/08 11:13,
4年前
, 184F
04/08 11:13, 184F
→
04/08 11:23,
4年前
, 185F
04/08 11:23, 185F
噓
04/08 11:27,
4年前
, 186F
04/08 11:27, 186F
推
04/08 12:43,
4年前
, 187F
04/08 12:43, 187F
推
04/08 12:43,
4年前
, 188F
04/08 12:43, 188F
推
04/08 12:47,
4年前
, 189F
04/08 12:47, 189F
噓
04/08 13:04,
4年前
, 190F
04/08 13:04, 190F
→
04/08 13:12,
4年前
, 191F
04/08 13:12, 191F
噓
04/08 13:12,
4年前
, 192F
04/08 13:12, 192F
→
04/08 13:14,
4年前
, 193F
04/08 13:14, 193F
推
04/08 13:15,
4年前
, 194F
04/08 13:15, 194F
→
04/08 14:09,
4年前
, 195F
04/08 14:09, 195F
噓
04/08 19:12,
4年前
, 196F
04/08 19:12, 196F
噓
04/08 20:23,
4年前
, 197F
04/08 20:23, 197F
→
04/08 20:24,
4年前
, 198F
04/08 20:24, 198F
推
04/09 00:15,
4年前
, 199F
04/09 00:15, 199F
推
04/09 10:22,
4年前
, 200F
04/09 10:22, 200F
噓
04/11 01:02,
4年前
, 201F
04/11 01:02, 201F
討論串 (同標題文章)
以下文章回應了本文:
完整討論串 (本文為第 1 之 10 篇):
