Zoom因为先前被发现不实宣称提供256-bit、全程加密等安全措施,遭到美国联邦贸易委员会(federal trade committee,FTC)调查及起诉。FTC昨(9)日表示Zoom已同意导入一系列安全措施换取和解。
根据FTC今年稍早提出的法律文件,至少从2016年起,Zoom就已提供端到端(end to end)256-bit等级加密的说法来误导消费者。但FTC调查发现多项Zoom营销说词言过其实。
首先,端到端加密的业界定义包括没有任何人,包括服务平台供应商都无法读取内容,但Zoom保留加/解密密钥使其得以访问用户的会议,Zoom的加密密钥也不如宣称的256-bit,而只有128-bit。此外,Zoom宣称用户视频会议在一结束后就会加密存储到云计算,但其实这些图片资料以未加密状态存储在Zoom服务器内至少60天,才会转移到加密云计算存储。
其他“罪状”包括,2018年Zoom Mac版App在安装到用户计算机后会悄悄安装并启动ZoomOpener web server,其间绕过了苹果Safari浏览器的警告机制,使用户在不知情下加入到会议中,陷用户于被陌生人远程监控的风险中。而且即使用移除Zoom App,ZoomOpener web server还是会留在用户计算机中。但Zoom对此皆未向用户披露。此外Zoom也被发现有资料隐码及跨网站脚本程序(cross-site scripting,XSS)漏洞、漏洞被发现一年多才修补、以及未能有效防范网络上匿名活动等。
作为双方和解的条件,FTC要求Zoom必须导入一系列安全强化措施,包括导入多因素验证、资料删除管控、防范用户帐密盗用;漏洞管理方案;强化内、外安全风控。此外,Zoom需检查软件更新是否有漏洞、不得危及第三方软件,并且必须老实公告其隐私及安全措施,包括用户个人信息搜集、使用及用户权利等。最后Zoom也必须同意由第三方单位对其安全措施进行1年2次的审核。
FTC并要求,前述要求未来每违反一项,就会遭到4.3万美元的罚金。
Zoom已在10月底对付费、免费版正式提供端到端加密,先从PC机及手机版本开始。Zoom预计2021年内会再陆续加入其他安全功能,包括提升身份管理及E2EE单一签入(SSO)集成。
