Zoom因為先前被發現不實宣稱提供256-bit、全程加密等安全措施,遭到美國聯邦貿易委員會(federal trade committee,FTC)調查及起訴。FTC昨(9)日表示Zoom已同意導入一系列安全措施換取和解。
根據FTC今年稍早提出的法律文件,至少從2016年起,Zoom就已提供端到端(end to end)256-bit等級加密的說法來誤導消費者。但FTC調查發現多項Zoom營銷說詞言過其實。
首先,端到端加密的業界定義包括沒有任何人,包括服務平台供應商都無法讀取內容,但Zoom保留加/解密密鑰使其得以訪問用戶的會議,Zoom的加密密鑰也不如宣稱的256-bit,而只有128-bit。此外,Zoom宣稱用戶視頻會議在一結束後就會加密存儲到雲計算,但其實這些圖片資料以未加密狀態存儲在Zoom服務器內至少60天,才會轉移到加密雲計算存儲。
其他“罪狀”包括,2018年Zoom Mac版App在安裝到用戶計算機後會悄悄安裝並啟動ZoomOpener web server,其間繞過了蘋果Safari瀏覽器的警告機制,使用戶在不知情下加入到會議中,陷用戶於被陌生人遠程監控的風險中。而且即使用移除Zoom App,ZoomOpener web server還是會留在用戶計算機中。但Zoom對此皆未向用戶披露。此外Zoom也被發現有資料隱碼及跨網站腳本程序(cross-site scripting,XSS)漏洞、漏洞被發現一年多才修補、以及未能有效防範網絡上匿名活動等。
作為雙方和解的條件,FTC要求Zoom必須導入一系列安全強化措施,包括導入多因素驗證、資料刪除管控、防範用戶帳密盜用;漏洞管理方案;強化內、外安全風控。此外,Zoom需檢查軟件更新是否有漏洞、不得危及第三方軟件,並且必須老實公告其隱私及安全措施,包括用戶個人信息搜集、使用及用戶權利等。最後Zoom也必須同意由第三方單位對其安全措施進行1年2次的審核。
FTC並要求,前述要求未來每違反一項,就會遭到4.3萬美元的罰金。
Zoom已在10月底對付費、免費版正式提供端到端加密,先從PC機及手機版本開始。Zoom預計2021年內會再陸續加入其他安全功能,包括提升身份管理及E2EE單一簽入(SSO)集成。
