原标题:记者调查:“Zoom轰炸”:我们使用的视频会议软件安全吗
新华社北京4月23日电记者彭茜 林小春
新冠疫情之下,网络授课、视频会议等成为人们工作生活的新选择。不过,最近热门视频会议软件Zoom的网络课堂或会议现场闯入很多不速之客,他们冲入网络直播间或高喊不当言论,或上传色情图片,给参与者特别是青少年带来极大困扰。这类“劫持”正常网络会议、肆意捣乱的行为也带来了一个新流行词——“Zoom轰炸”。
包括美国航天局、谷歌公司在内的一些政府机构和企业已禁止员工在工作中使用Zoom,新加坡本月曾短暂禁止教师利用Zoom授课;而数据库软件巨头甲骨文则以“不可或缺的服务”为由力挺Zoom。无论如何,硅谷技术公司Zoom因“Zoom轰炸”遭遇危机。人们自然要问:以Zoom为代表的视频会议软件能安全使用吗?
疫情放大Zoom安全隐患
Zoom由硅谷华人工程师袁征创立于2011年,由于使用者真实的体验好,成为多数企业网络会议的首选;也有一些中国孩子通过Zoom跟美国老师学英语。疫情暴发后,Zoom日活跃用户从去年年底的1000万飙升至今年3月的超过2亿人,就连世界卫生组织每日的疫情例行发布会都利用Zoom举行。随着用户量暴增而来的是,视频会议软件的隐私和安全问题凸显。
“它本身是企业端软件,企业用户开正式会议时才会购买服务,是相对封闭的环境,一般不会有外人进来捣乱,”北京智源人工智能研究院副院长刘江在接受新华社记者正常采访时说,现在它突然拥有了海量用户,攻击它的价值变大了。
互联网产品开发者为了提升产品安全性,会设置很多道防范关卡,但使用者真实的体验会变差。Zoom一直以比同种类型的产品更易用、连接质量更可靠受到用户青睐,然而,在刘江看来,此前出于方便使用者真实的体验的设计,如今成了安全风险点。
比如,Zoom通过输入会议号便可进入会议,但仅为数字组合的会议号很容易猜测。参会也无须太多认证,所以任何人都可通过获取分享在网络平台上的会议号甚至靠单纯猜测数字闯入一个在线会议。
密码学专家、哈佛大学肯尼迪政府学院讲师布鲁斯·施奈尔以“不良的隐私惯例、不良的安全惯例和不良的用户配置”总结Zoom暴露出的安全风险隐患。他声称,Zoom产品本身的安全设计过于草率,存在很多代码错误以及软件漏洞,另外加密方法也很糟糕。
Zoom安全问题并非孤例。中国科学院软件研究所研究员、中科实数董事长丁丽萍说,目前很多公司很多产品临时抱佛脚应对安全问题。“一个不安全的产品拿出来应用,当用户规模慢慢的变大时暴露的问题也就慢慢的变多”,应把安全贯彻到产品开发全流程中。
不单纯的质疑声
技术问题之外,也夹杂着一些不单纯的声音。
Zoom将部分研发团队设在中国,以充分的利用中国相对硅谷的“低工资优势”;还在中国设有数据中心;创始人袁征是土生土长的山东人。在一些西方政客和媒体“有色眼镜”之下,这些是Zoom为“中国实体”的实证。
另外,抵制Zoom的科技公司中,还包括同业竞争者。
袁征拒绝了新华社记者的采访请求。
面对外界质疑,袁征4月初发文回应说,将在90天内动用必要资源更好地主动识别、处理和修复安全漏洞,包括暂时冻结新功能开发,邀请第三方专家审查等。
甲骨文创始人拉里·埃立森日前通过视频公开发声支持Zoom,称Zoom提供的服务是甲骨文“不可或缺的服务”,“它的技术使甲骨文的工程设计、客户服务和销售得以继续,即便现在所有人都在家工作”。
丁丽萍说:“Zoom在90天之内会着手处理问题,我相信在这个时间节点过后它会变成更安全、更值得信任的好产品。”网络安全专家、前美国空军传播官员文斯·克莱斯勒在其博客文章中说:“我并不是想最小化‘Zoom轰炸’带来的情感和心理影响,但类似的事情不仅在虚拟世界存在,在现实世界同样存在。”
刘江认为,“技术本身很难百分之百处理问题”,就像视窗操作系统需要不断升级版本补漏洞一样,任何软件都不可能做到绝对安全。
中国远程办公提前开始普及
据丁丽萍介绍,目前国内视频会议除了Zoom外,还可使用腾讯会议、阿里钉钉、华为云Welink等,其中有些产品采用数据安全多方计算等多种方案,有严格的访问控制机制,可支持不存储,并提供一些录制选项保证安全等。
国内视频会议软件同样面临用户激增带来的安全挑战。腾讯公司提供的多个方面数据显示,去年12月底推出的腾讯会议两个月内日活跃用户数超过1000万。为满足日益增长的“云上”办公需求,腾讯会议100天内更新迭代20个版本,也通过加码内部安全投入、开展安全众测等方式预防未知产品风险。
“疫情不仅让中国远程办公的(普及)趋势提前了5年,也培养了用户的在线办公习惯,”腾讯云办公协同产品中心负责人钱敏在接受记者正常采访时说,未来将有更多线上线下相结合的办公探索。
至于普通用户怎么安全使用视频会议软件,丁丽萍建议,首先不要使用不成熟产品;其次要启用安全功能,有时候用户没有打开这些功能;第三,区分办公和家庭环境,不要在视频会议环境中放置太多私人物品,注意保护个人隐私;第四,养成良好的视频会议使用习惯,不说话时保持静音,一些敏感文件尽量通过邮件展示细节。“如果做好安全配置,用户都能够放心用”。