在廣泛的質疑下,Zoom在疫情期間取得的增長可能難以持續,包括SpaceX和NASA停止使用這一軟件之後,事件影響可能還會繼續擴散。而在問題最終解決之前,對Zoom在安全問題上的擔憂則可能對廣泛的用戶產生影響。
連環爆發的安全問題讓在線視頻會議軟件 Zoom 陷入多方聲討當中。
疫情期間,藉由遠程辦公需求爆發式上漲,在北美廣受歡迎的 Zoom 用戶數量繼續大漲,3 月份活躍數量同比上漲超過 150%。也正是因為這一原因,在全球股市遭遇疫情 “黑天鵝” 的時候,Zoom 的股價在 1 月 - 3 月期間漲幅超過 100%。
但近期集中曝出的幾起安全事件讓 Zoom 備受關注。
美國聯邦調查局(FBI)波士頓辦公室本週一發佈了一份關於 Zoom 的警告稱,由於此前發生了多起身份不明的人入侵學校網絡課程的事件,提醒用戶不要在該網站上進行公開會議或廣泛分享鏈接。
更嚴重的問題還在後面,美國當地時間 3 月 31 日,美國調查新聞網站 The Intercept 發佈一篇報道指出了“嚴重的隱私和安全問題”,稱 Zoom 並未遵循自家的承諾為用戶的會議內容進行端到端加密處理(End-to-end encryption),外界質疑這意味著 Zoom 將有能力直接接觸到用戶數據,引發廣泛擔憂。
同一天,美國媒體 Vice 報道稱 Zoom 洩露了成千上萬用戶的電子郵件地址和照片,且不少用戶發現自己在使用時允許陌生人互相發起電話連接。針對這一問題,Zoom 表示已經進行了處理。
在質疑聲下,SpaceX 已經在一份電郵中已要求其員工立刻停止使用 Zoom,美國國家航空航天局(NASA)一位發言人表示,該機構也已禁止其員工使用 Zoom。
科技媒體 The Verge 前一天還在報道中介紹這款遠程辦公軟件,手把手教學如何使用 Zoom 進行遠程辦公,而後一天就在報道中質疑 Zoom 的安全性,同時推薦用以替換 Zoom 的會議軟件。
端到端加密危機
視頻會議服務 Zoom 在新冠疫情蔓延期間使用量激增,該公司宣稱將實施視頻端到端加密,這被廣泛認為是最私密的互聯網通信方式,能有效保護用戶的通信內容不被第三方(包括 Zoom 自己)接觸到。
但據 The Intercept 報道,實際上 Zoom 僅在部分文本信息和部分模式的音頻中使用了端到端加密,而在至關重要的視頻和電話通信方面則並未使用這一加密方式。
事實上,Zoom 在一份官方文件中承諾,將使用端到端方式對會議內容進行加密,甚至是在加密模式下使用該應用進行視頻會議時,界面上方還有 “正在使用端到端加密” 的字樣。
(來源:The intercept)
但被問及視頻會議是否在實際上通過端到端加密時,Zoom 的發言人表示:現階段,不可能為 Zoom 平臺上的視頻會議啟用端到端加密。
在端到端加密的模式下, 視頻和音頻內容需要經過加密處理,而只有會議的參與者才擁有密鑰,有能力對數據進行解密。在這過程中,Zoom 雖然可以訪問到加密內容, 但由於不掌握密鑰而不具備解鎖的能力。
在實際的運營中,Zoom 在保護會議視頻內容的加密方式是 TLS (Transport Layer Security,傳輸層安全協議),這意味著,用戶在電腦或手機上運行 Zoom 時,設備端到 Zoom 的服務器之間時加密的。但不同於端到端加密的關鍵點在於, Zoom 自己具備訪問到未被加密的視頻和音頻內容的能力。
因此簡單來說,採用 TLS 加密方式下,用戶的視頻或音頻內容可以防止被第三方竊取,比如通過 WIFI 監視的方式,但這些內容和數據並不能在 Zoom 這裡保證安全。
在這一問題上,Zoom 回應稱,Zoom 不能直接訪問、竊取和出售用戶數據。
Zoom 發言人解釋道,公司在文件中提到的 “端到端” 指的是不同的 Zoom 端點之間的加密。這種說法是將 Zoom 的服務器視作是一個端點,這種做法和以往的常規理解並不相同。
約翰 · 霍普金斯大學的密碼學家和計算機科學教授 Matthew Green 指出,多人參與的在線視頻本身是很難進行端到端加密的,這是因為平臺需要在會議過程中識別哪個用戶正在通話,並將這名用戶的高分辨率視頻流分發給其他參會者,而對於其他的未講話的參與者,平臺只會提供低分辨率的視頻流。
實際上這是優化用戶體驗的一種方式,但這種優化需要在未加密的情況下才能更輕鬆實現。
“如果都是端到端加密,你需要更多額外的步驟。”Matthew Green 表示,“這是可行的,但並不容易。”他指出,蘋果在自家的視頻通話軟件 Facetime 上就使用了端到端加密。對於 Zoom 的疑似欺瞞行為,他表示,Zoom 在端到端加密的解釋上有點模糊。
而經過 Zoom 確認,在用戶通過文本進行溝通時,Zoom 會對內容繼續提供端到端加密。“當開啟聊天端到端加密時,密鑰儲存在本地的設備上,Zoom 自己是無法進行讀取的。”麻省理工科技評論曾嘗試聯繫 Zoom 但未獲及時的回覆。
針對多方面的媒體質疑,Zoom 在一份回應中表示,Zoom 只在有需要的時候才從個人用戶處收集數據,目的是儘可能高效地提供和確保服務。Zoom 必須收集基本的技術信息,比如用戶的 IP 地址、操作系統和設備信息等。
為了保護用戶的隱私,Zoom 採取了分層保護的措施,其中包括了 Zoom 公司內任何員工都無法直接訪問用戶在會議期間分享的任何數據,包括但不限於會議的視頻、音頻和聊天內容。Zoom 不會挖掘用戶數據,更不會向任何人出售任何類型的用戶數據。
不過在廣泛的質疑下,Zoom 在疫情期間取得的增長可能難以持續,包括 SpaceX 和 NASA 停止使用這一軟件之後,事件影響可能還會繼續擴散。而在問題最終解決之前,對 Zoom 在安全問題上的擔憂則可能對廣泛的用戶產生影響。
除此之外,有媒體指出,正是沒有端到端加密,Zoom 在理論上具有監視私人視頻會議的技術能力,外界擔心,這一缺口的存在,Zoom 可能會被迫根據法律法規將視頻和音頻資料交給政府和執法部門。
不過因為到目前為止,Zoom 並未像微軟、谷歌等公司一樣發佈自家的透明度報告,因此無從得知是否有國家和政府對 Zoom 提出獲得用戶數據的請求。目前,已有人權組織開始呼籲 Zoom 公佈透明報告,幫助用戶瞭解該公司究竟是如何保護他們的數據。
“華裔軟件”
Zoom 一定程度上是一家流著中國血液的美國公司。
Zoom 的總部位於美國加州聖荷西,創始人袁徵曾在中國完成了本科和碩士階段的學習後才到美國成為一名工程師。
2011 年,袁徵離開思科公司,創立了 Zoom 開始單幹。創始人的華裔身份對公司的發展產生了巨大的影響,事實證明,Zoom 在中國擁有龐大的研發隊伍,恰恰為其節約了很大的成本。
在 2019 年上半年,Zoom 在 IPO 招股書中披露, 其大部分產品開發人員都在中國。招股說明書顯示,Zoom 在中國的多個研發中心僱用了 500 多名員工,約佔其員工總數的 30%,佔其非美國員工總數的 70%。
Zoom 直言,“我們的產品開發團隊主要在中國,那裡的人力成本比其他許多地區的成本都要低。如果我們將產品開發團隊轉移到其他地區,那麼我們可能需要承擔更高的運營費用,這將對我們的運營利潤率造成不利影響,並損害我們的業務。”
根據當時招聘網站 Glassdoor 的數據,中國入門級軟件工程師的平均年薪約為 3.435 萬美元,是美國同行年薪的三分之一(聖何塞的年薪為 11 萬美元)。
Zoom 這一做法成功也被稱為是 “中式 996” 紅利。
-End-
閱讀更多 苦咖啡人生 的文章
