2020年4月2日,据国外媒体报道,埃隆·马斯克(Elon Musk)的航天企业SpaceX的一份内部备忘录显示,该公司已经禁止其员工使用视频会议应用Zoom,并指出该应用存在“严重的隐私和安全性担忧”。几天前,美国执法部门刚刚对Zoom的用户提出了警告,称该应用的安全性存在问题。
随着新冠病毒在美国爆发,越来越多的美国人开始在家中工作或学习,因此,人们对包括Zoom在内的数字通信工具的需求也一路上涨。
在一封发送日期为2020年3月28日的电子邮件中,SpaceX对员工表示,该公司将停止一切对Zoom的访问,此决议立刻生效。
该公司在这封邮件中写到:“我们了解,很多人此前都在使用这个工具为召开视频会议提供支持。未来请使用电子邮件、短信或电话作为其他的替代沟通方式。”
两名知情人士确认了邮件内容的真实性。
SpaceX公司拥有超过6000名员工,该公司的发言人没有对置评请求做出回应。该公司CEO马斯克还是著名电动汽车制造商特斯拉的CEO。
美国航天局发言人斯蒂芬妮·希尔霍尔茨(StephanieSchierholz)表示,除了SpaceX之外,该公司最大的客户之一美国国家航空航天局(NASA)也禁止其员工使用Zoom。
2020年3月30日,美国联邦调查局(FBI)波士顿办公室针对Zoom发起了警告,告知用户不要将在该应用上举行的会议链接进行公开或大量分享,此前FBI收到了多起不明身份的人入侵学校网课的报告,这种事件被称为“zoombombing”。
3月31日,调查新闻网站The Intercept报道称, Zoom 并未遵循自家的承诺为用户的会议内容进行端到端加密处理(End-to-end encryption),这意味着 Zoom 将有能力直接接触到用户数据,引发广泛担忧。
端到端加密危机
视频会议服务 Zoom 在新冠疫情蔓延期间使用量激增,该公司宣称将实施视频端到端加密,这被广泛认为是最私密的互联网通信方式,能有效保护用户的通信内容不被第三方(包括 Zoom 自己)接触到。
但据 The Intercept 报道,实际上 Zoom 仅在部分文本信息和部分模式的音频中使用了端到端加密,而在至关重要的视频和电话通信方面则并未使用这一加密方式。
事实上,Zoom 在一份官方文件中承诺,将使用端到端方式对会议内容进行加密,甚至是在加密模式下使用该应用进行视频会议时,界面上方还有 “正在使用端到端加密” 的字样。
但被问及视频会议是否在实际上通过端到端加密时,Zoom 的发言人表示:现阶段,不可能为 Zoom 平台上的视频会议启用端到端加密。
在端到端加密的模式下, 视频和音频内容需要经过加密处理,而只有会议的参与者才拥有密钥,有能力对数据进行解密。在这过程中,Zoom 虽然可以访问到加密内容, 但由于不掌握密钥而不具备解锁的能力。
在实际的运营中,Zoom 在保护会议视频内容的加密方式是 TLS (Transport Layer Security,传输层安全协议),这意味着,用户在电脑或手机上运行 Zoom 时,设备端到 Zoom 的服务器之间时加密的。但不同于端到端加密的关键点在于, Zoom 自己具备访问到未被加密的视频和音频内容的能力。
因此简单来说,采用 TLS 加密方式下,用户的视频或音频内容可以防止被第三方窃取,比如通过 WIFI 监视的方式,但这些内容和数据并不能在 Zoom 这里保证安全。
在这一问题上,Zoom 回应称,Zoom 不能直接访问、窃取和出售用户数据。
Zoom 发言人解释道,公司在文件中提到的 “端到端” 指的是不同的 Zoom 端点之间的加密。这种说法是将 Zoom 的服务器视作是一个端点,这种做法和以往的常规理解并不相同。
约翰 · 霍普金斯大学的密码学家和计算机科学教授 Matthew Green 指出,多人参与的在线视频本身是很难进行端到端加密的,这是因为平台需要在会议过程中识别哪个用户正在通话,并将这名用户的高分辨率视频流分发给其他参会者,而对于其他的未讲话的参与者,平台只会提供低分辨率的视频流。
实际上这是优化用户体验的一种方式,但这种优化需要在未加密的情况下才能更轻松实现。
“如果都是端到端加密,你需要更多额外的步骤。”Matthew Green 表示,“这是可行的,但并不容易。”他指出,苹果在自家的视频通话软件 Facetime 上就使用了端到端加密。对于 Zoom 的疑似欺瞒行为,他表示,Zoom 在端到端加密的解释上有点模糊。
Zoom 表示,在用户通过文本进行沟通时,Zoom 会对内容继续提供端到端加密。“当开启聊天端到端加密时,密钥储存在本地的设备上,Zoom 自己是无法进行读取的。”
截至目前为止,Zoom 并未像微软、谷歌等公司一样发布自家的透明度报告,因此无从得知是否有国家和政府对 Zoom 提出获得用户数据的请求。目前,已有人权组织开始呼吁 Zoom 公布透明报告,帮助用户了解该公司究竟是如何保护他们的数据。
来源:综合自deeptech 腾讯科技
閱讀更多 商密在線 的文章
