在承诺冻结目前所有功能开发,全力投入进行 90 天资安计画后,Zoom 达成对用户的初步承诺,将在本週释出 Zoom 5.0 版本,加强平台的安全防护与隐私功能,包括升级至 AES 256 位元 GCM 加密标準、调整安全性图示功能、预设启用会议室密码等,以解决前几週所发生的资安疑虑。
Cv新冠疫情增加了企业对于视讯会议软体的需求,成千上万的员工在家上班并靠着通讯工具保持联繫,Zoom 就是这波视讯会议热潮中的受益者。Zoom 创办人暨执行长袁征(Eric S. Yuan)曾在官方部落格撰文,去年底在 Zoom 进行免费与付费视讯会议的参与人数最多约有 1,000 万,但到了今年 3 月,每天已有超过 2 亿的免费与付费用户使用这款软体。然而近期 Zoom 不断爆出资安漏洞,频频登上新闻版面。
为此 Zoom 展开 90 天资安计画做为回应,其中将升级至 AES 256 位元 GCM 加密标準,以加强保护会议资料传送并防止干预,这为 Zoom 会议、Zoom 视讯网路研讨会以及 Zoom Phone 的资料提供机密性与完整性的保障。即将在本週释出的 Zoom 5.0 将支援 GCM(Galois/Counter Mode)加密标準,所有帐户都需自行启用 GCM,这项加密标準才会生效;而从 5 月 30 日开始,所有帐户预设以 GCM 加密。
由于过去爆出资料传往中国伺服器的争议,现在 Zoom 的帐户管理员可以在帐户、群组或不同类型用户等级中,依权限选择想要透过哪些特定区域的资料中心来处理即时线上会议的资料。商业、企业与教育方案的帐户管理员可在 Zoom 选单中查看他们的线上会议如何连接到 Zoom 资料中心,包括连接到 HTTP 通道伺服器的所有资料中心、会议室连接器以及闸道。Zoom 官方也强调中国以外的免费用户,其会议资料将不会透过中国的资料中心传送。
至于在用户体验与控制方面,过去需透过会议选单查看的「安全性」选项已有调整,在会议主持人的介面选单上点击【安全性】图示即可找到相关功能,包括会议加锁、启用等候室、移除与会者,以及是否允许与会者进行画面分享、聊天、自行改名、在分享内容上注记等操作;其中对教育帐户而言,萤幕共享功能预设仅限会议主持人。
针对免费帐号、单一升级帐号以及其 K-12 计画中注册的教育帐号,让主持人在与会者被允许进入会议室前等待的「等候室」功能改为预设开启。此外,这些帐号也已启用会议室密码功能,帐户管理员可以定义密码的複杂性,例如对于密码的长度、字母、数字、特殊符号等要求,也能避免类似 Zoom-Bombing 恶作剧攻击的状况发生。
- Zoom Hits Milestone on 90-Day Security Plan, Releases Zoom 5.0
- Zoom adds data center routing, security updates
- Zoom releases 5.0 update with security and privacy improvements
