疫情使上班族高度仰赖远端办公软体,连带资安问题也备受重视。图为民众居家办公示意图。 图:取自Microsoft Teams官网
近期当红视讯会议软体Zoom爆发一连串资安漏洞,导致国内外许多政府单位与大型机构纷纷宣布禁用,也让因疫情高度仰赖远端办公/教学软体的用户忧心不已。为了让消费者安心,包括微软、Google、台湾私有云即时通讯企业龙头互动资通、中华电信子公司是方电讯等业者近日陆续发表针对旗下产品的资安说明,强调使用上绝对安全无虞,盼藉此吸收更多用户。
目前Zoom较知名的隐私漏洞包括:
1.多起有心人士加入视讯会议后骚扰与会者的「Zoomboom」恶作剧
2.会将用户的开会影片、会议纪录等资料传到中国(即便用户并不在中国)
3.重要的端对端加密技术仅适用于会议中的文字内容,不包括视讯与音讯
虽然Zoom已经宣布延揽脸书(Facebook)前安全长史塔莫斯(Alex Stamos)担任顾问作为「救援投手」,又开放付费用户可自由选择要退出哪个区域的伺服器,甚至进一步封锁该地区,确保重要资料不会被传到指定区域。但免费用户方面,Zoom只承诺除了中国用户外,其他用户的资料不会送到中国的伺服器,却未说明台湾用户究竟是隶属于「中国用户」或「其他国家用户」,因此对台湾的免费用户来说,资安问题依旧无解。
考量到用户疑虑,同样拥有远端协作产品的业者们近日纷纷针对旗下产品提出资安说明:
Microsoft
Microsoft副总裁杰瑞德史塔巴罗(Jared Spataro)说明,在资安维护方面,Microsoft Teams符合逾90项规範标準及法规,所有的资料都会使用产业标準技术(像是TLS和SRTP)严格加密。
而当用户进行视讯会议时,仅有主持人能决定谁能参与会议,并赋予参加者发表及录影权限。会后,只有参与者能存取会议的录影档案,除非主持人授权给其他方存取录影档。
此外,Teams仅限企业内部人员使用,密码由企业公布,还有定期更换机制,一般外人无法自行注册混入冒充企业员工使用上述服务或盗取内部资料。
Google也在官方部落格发表贴文,说明Google Meet产品在资安上有哪些防护。
在视讯会议安全部分,基本密码设定需10到25字,且开会前15分钟即限制外部访客加入,外部访客必须经由成员邀请或主办单位核准才能加入会议,且部分权限仅主持人拥有,这些措施都会提高骇客破解、入侵及恶搞会议的难度。
此外,Google有「资料存取透明化控管机制」,会记录所有存取会议内容的 Google帐号及存取原因,用户也可指定这些资料要储存在哪个区域(例如美国或欧洲)。
互动资通
业者说明,旗下产品team+最大卖点之一即为「私有云」,也就是用户在使用软体时,所有传送的讯息档案、视讯与音讯等,全部储存在企业内部的专属伺服器中,而非全球各区域的数据中心,可确保资料安全无虞。
业者指出,IDC(国际数据资讯公司)的全球调查报告也提到,49%的企业预计在两年内将部署在公有云上的应用程式搬回内部私有云中,其中一项原因就是担心资料外洩,另一个原因则是考量到长期租用公有云所费不赀。
是方电讯
中华电信子公司是方电信以070网路电话闻名,也有提供云端视讯会议服务。业者指出,使用该服务时,需先经过070系统两层架构注册,安全性比一般市面上匿名申请帐户就可开通更高。
实际线上开会时,主持人可以设定参加者必须要有登入连结和密码,一旦发现有外来者进入,可将该人直接移除,且此人无法再次进入会议。此外,主持人可以终止与会者的视讯及发言,也有权决定谁可以分享档案或网页内容。
云端储存方面,是方的合作对象为美国AWS(亚马逊云端运算服务平台),企业资料只会送往美国储存,不会流入中国。
近日连续爆出的资安漏洞让Zoom一夕之间由红翻黑,为了避免更多客源流失,Zoom正努力加强资安控管,以微软、Google为首的其他业者,则纷纷把握时机积极抢攻市场。目前全球还有许多企业尚未开放员工在家工作,但其中不少都已开始为远距办公进行规划或演练,这些都是潜在客户,Zoom、微软与Google等品牌近期针对用户资安及隐私的说明及处理方式,将成为这些客户决定未来投向哪方的关键。
