資安漏洞!政府部門用ZOOM開線上會議 小心可能被駭客竊聽

因應武漢肺炎疫情蔓延,政府部門開始研議異地上班、線上共同會議,但相關的資安漏洞也須注意。(圖片來源/翻攝自Microsoft 365 Business)

國內武漢肺炎確診病例人數增多,立法委員已多次質詢各部會的異地上班、會議準備方案,各單位如教育部也研擬分區上班、在家上班等反應措施,然而不論政府機關或者許多民間企業都需要解決線上共同開會問題,這時候前段使用免費的軟體ZOOM大受歡迎,然而外界較少注意到的是,這家有中國背景的公司在今年被全球資安研究公司Check point發現重大資安漏洞,公司宣稱已經改善。

因應異地上班與共同會議,政府機關多準備好相關人員、資訊、權限的設定,據《信傳媒》所得知訊息,包括教育部等多個政府部分已經選定軟體ZOOM當作線上共同會議工具,該軟體提供所有參與者的即時畫面、影音的傳輸,當然,資安的漏洞也在這裡,若政府敏感部會的會議內容外洩,衍生的政治責任,後果不堪設想。

會議軟體ZOOM提供免費時段,大受市場歡迎

ZOOM原先在美國上市的中資背景公司,客戶遍及180個國家,它曾被流亡美國的中國富豪郭文貴爆料與抖音等獲得中國共產黨的表揚,由於前面時段使用免費,ZOOM很快就受到市場的歡迎。

然而根據科技新聞網站「THE VERGE」在今年1月28日的報導中指出,ZOOM存在重大資安漏洞,駭客透過ZOOM可竊聽線上會議。

這個漏洞是國際資安公司Check Point發現的,報導指出,ZOOM會議所發出的9到11位數會議參加代碼存在缺失,可以讓駭客輕易的「猜到」,透過猜中的代碼而默默地參加了整個會議,整個Check Point研究團隊的成功率是4%。

「這有點像賭Zoom輪盤」Check Point的網路研究主管Balmas表示,「這意味著,如果你發起了一場會議而且正在進行視訊會議,還有多個同事一起開會,你可能不會注意到是否有人坐在那裡聽你們說話。」

多次被爆資安漏洞,公司宣稱逐漸改善

當Check Point揭露之後,ZOOM表示會馬上改善這個問題,改採用「更強加密強度」的密碼代替了隨機生成的會議ID號碼,為會議ID號碼添加了更多數字。

去年,研究員Jonathan Leitschuh也曾在Mac上的ZOOM發現一個程序漏洞,讓駭客得以劫持使用者的相機畫面,最後該公司停止使用當地伺服器來解決這個問題。

瑞典科技大廠轉投資的台灣雪喬公司執行長周頌鈞表示,ZOOM還有另一個為人詬病的問題,當然在其他手機APP上也曾發生過,就是當你要把手機的攝影鏡頭、麥克風授權給它的時候,它給你勾選的授權項目還多了其他部分,有些情況下不勾選「同意」就沒辦法使用。

當然,他強調,很多軟體都有漏洞,也是一邊發現一邊改進,要不要使用,就像消費者選擇把錢存在某一家銀行一樣,是信心問題,看這個軟體能不能獲得消費者的信賴,在瑞典,正規的公司,幾乎每天都視訊會議,長期以來都流行在家上班,但不會去用ZOOM,而是用作業系統常看到的Out look 365、skype等。

在家上班成為趨勢,共同Email中也藏詐騙陷阱

此外,因應校園可能遭到武漢肺炎入侵,周頌鈞指出,瑞典的大學線上課程,則是用webex、gotomeeting等軟體。若要共同協作一份文件,則常用google雲端、微軟的SharePoint、onedrive等相關應用。

然而在家上班除了共同會議可能遭駭客入侵,由於大量仰賴電子郵件往來,一般的收發email可能也藏有資安漏洞風險。

區塊鏈資安應用新創公司「區塊科技 BlockChain Security」指出,電子郵件詐騙(Business Email Compromise, BEC)是一場由犯罪組織精心策畫的騙局,由美國聯邦調查局(FBI)旗下的網路犯罪投訴中心(Internet Crime Complaint Center ,IC3)在去年總計 46.7 萬件的資安投訴案當中,數量僅占全數投訴案件的 5%,但造成的損失卻高達去年網路犯罪損失總額的 50%。

由於辦公室信件常見一人發給多人,其他人依同一封信回覆,帶了數十個電子郵件信樣而讓人容易忽視,詐騙郵件通常偽裝成相似的電郵信箱,潛伏數月,參與了整個過程,而目前市面上也常見以ChkSender軟體來擋電子郵件詐騙。

更多信傳媒報導
武漢肺炎》美中「疫苗戰爭」開打 台灣難以置身事外
新增17例確診》台灣共252例確診 張上淳:約七成是輕症或無病症者