Zoom 數萬私人視頻被公開，被曝加密技術造假

因新冠疫情，視頻會議軟件使用量激增，其中的表明性產品 Zoom 的日活躍用戶，從去年 12 月份的 1000 萬人激增到如今的2億人。

但近日，華盛頓郵報報道 Zoom 存在的重大安全漏洞，數以萬計的私人 Zoom 視頻被上傳至公開網頁，任何人都可在線圍觀。

向華盛頓郵報爆料的是美國國家安全局的前研究員帕特里克·傑克遜（Patrick Jackson），他爆料稱在開放的雲存儲空間中一次性搜到了 15000 個 Zoom 視頻。

此外，加拿大多倫多大學公民實驗室的研究人員對軟件進行了逆向工程，發現該公司在加密方案上有虛假宣傳。Zoom 稱其會議使用 AES-256 加密，但實際上只在 ECB 模式下使用了簡單的 AES-128 密鑰，密鑰由 Zoom 的服務器產生。

Zoom 還聲稱使用端對端加密，但事實上距離真正的端對端加密還比較遙遠，該公司對端對端加密的定義與一般的定義有差距。

種種安全事件頻繁發生後，Zoom 受到了全球用戶的批評。所以，Zoom 宣佈暫停任何新功能的開發，以專一於安全和隱私問題。企業創始人袁徵表示，該公司爲解決安全疑慮而採起以下的步驟：

• 對加密方法進行說明
• 刪除從 iOS 應用到臉書的共享代碼
• 發佈與 Mac 相關問題的修復程序
• 刪除與領英網站（LinkedIn）之鏈接，以防止沒必要要的數據泄露
• 發佈如何避免成爲「Zoom 轟炸」受害者的說明

在接下來的 90 天內，該公司又計劃：

• 暫時凍結新功能開發，以專一於安全和隱私
• 與獨立專家進行審查，以瞭解新客戶所需的新安全功能
• 編寫有關數據請求的透明度報告
• 擴大其「漏洞賞金」計劃
• 每週舉行一次網絡研討會，以提供隱私和資訊安全更新

袁徵坦言，若是安全問題不解決，甚至會考慮開源 Zoom 代碼。