Zoom 資安問題多

2020411 香港電台知識會社e個世界節目內容

Zoom 資安問題多

疫症期間很多公司都推行在家工作及學校推行網上授課,令Zoom Meeting被廣泛應用,但Zoom同時被爆出很多安全漏洞。早前就有保安專家撰文指,Zoom在核實用戶身份時,會發電郵給用戶,但即使收不到,只要複製在網址列上的編碼,並貼上到另一頁面,便可通過核實過程。一位網絡安全專家「s3c」在《Medium》撰文證明他能破解任何一個 Zoom 帳號,並發佈了一段影片,並以破解者的 Facebook 帳戶來登入受害者的 Zoom 帳戶。他表示已在 3 月 30 日向 Zoom 的保安團隊報告此漏洞,並已在 4 月 1 日修正,而「s3c」則指自己因此獲得了 3000 美元的獎金。另外,有外媒發現,即使Zoom會議中的用戶都是非中國用戶部份,但卻被連接到中國的伺服器。Zoom解釋指因用戶增加,令系統「錯誤地」把部分北美洲用戶的數據,分流到兩間位於中國的數據中心進行處理,事件亦引起公眾關注。

Zoom Tips 香港電腦保安事故協調中心(HKCERT

Zoom現時成為最受歡迎的綫上會議軟件之一,但同時被爆出很多資安問題,有見及此,香港電腦保安事故協調中心 (HKCERT) 就提供10招提醒大家使用Zoom的注意事項﹕

  1. 使用最新版本的軟件並定期更新,謹記只在官方的網站或應用程式商店下載軟件。
  2. 提防不明的UNC連結,專業Windows用戶可設置Group policy,以停止傳送NTLM密碼。
  3. 不要在會議期間討論機密資訊以防止外洩,因Zoom未支援完全的點對點加密。
  4. 使用有意義的顯示名稱,讓主持人更容易識別與會者。
  5. 設立高強度的帳戶密碼,如有可疑情況就立即登出所有 Zoom 的用戶端,不要隨意分享或公開主辦方傳送的會議ID及網址。
  6. 只向與會者分享會議ID和網址,切勿分享到社交媒體或公開平台。每次會議都設立不同的會議ID及密碼,並分開發送會議網址給與會者。
  7. 使用另一部裝置並以與會者身份登入,監察與會者分享的任何不當內容,移除不合適的資訊和身份不明的人士。
  8. 小心處理會議錄像,如果要進行錄影,應預先通知所有與會者。如錄像內含有敏感資料,應將錄像保存於個人電腦而非雲端內,並設置適當的存取權限,共享給可信任人士。
  9. 會議ID可連結至私人的Zoom帳戶,所以只應作個人使用,切勿分享此ID或用於一般會議中。
  10. 為網絡會議制定有關的保安政策,供員工於主持和參加網上會議時遵循,並應涵蓋使用守則及安全控制。
Google唔比用ZoomGoogle Meet

由於Zoom被爆出資安問題,連美國政府旗下機構及美國公司也宣布不使用 Zoom,最近 Google 亦禁止員工使用 Zoom,據報導,Google 已發信員工,明言 Zoom 未達到 Google 使用的資安標準,故將停用該軟件,並提醒員工不要使用公司電腦安裝或利用該軟件進行公事會議。 Google 就建議員工可使用自家的線上會讓軟件 Hangouts Meet,可以提供最高 250 位參與者加入通話,以及可以同網域 100,000 名觀眾同時觀看直播的功能。Google最近同時宣佈將Hangouts Meet 更名為Google Meet,並會脫離Hangouts,在 G Suite 成為與 Gmail、Docs、Sheets 與 Drive 並列的獨立服務。

Skype 重提免登入會議功能

Skype趁著Zoom被爆出資安問題的時候,再次提醒用家,他們跟Zoom 一樣,有提供免

登入會議功能,希望挽回人氣「搶客」。其實這個並不是新功能,但是就一直被用家忽略,因此 Skype 特意在 Twitter 上再次宣傳這個功能,希望大家知道除了 Zoom 之外,Skype 亦是一個很好的選擇。只要在Skype 的特定網頁上開啓會議室,任何人都可以在沒有Skype 帳戶或甚至在沒有Skype App 的情況下進入會議室,使用上與Zoom 同樣簡單,為大家提供多一個選擇。

Safari入侵鏡頭咪高峰

Safari 是 iOS及MacOS 平台的預設瀏覽器,故使用率相當高,但最近就有安全研究人員公佈,在 Safari 內發現了七個漏洞。黑客可以利用漏洞進行攻擊,並直接入侵 iOS及MacOS 裝置內的鏡頭。黑客可以建立惡意網站,當用家按入後,便可入侵iPhone 和Mac 中的相機鏡頭,獲取聲音和影像,對用家進行竊聽。惡意網站的連結能使

Safari 相信網站已經擁有你相機鏡頭和麥克風的使用權限。Apple在去年12月首次披露問題後,很快便解決了這些問題,更在今年1月和3月發佈補救方法。

E3停辦各顧各!

由於疫情關係,許多展覽和活動都不得不推遲或取消,科技遊戲界亦大受影響。原定於6月舉行的美國年度最大遊戲盛事E3展覽,為了參展商、工作人員和入場人仕的安全著想,ESA在3月初正式宣佈取消有關的活動。Microsoft及Ubisoft等遊戲廠商表態會舉辦網上發佈會,但Bethesda則表示不會舉辦。雖然ESA有意協調遊戲廠商改辦網上展覽會,但似乎相關單位並不買賬,各個廠商都決定在各自的平台上發佈新作,所以ESA 唯有宣布放棄E3 2020 定發佈會。

Disney 《冰雪奇緣2》短片

迪士尼早前特別釋出迪士尼動畫師Hyrum Osmond製作的《冰雪奇緣2》(Frozen 2)的一系列番外篇《At Home With Olaf》,每部影片只有短短 40 秒,而故事內容都是講述Olaf(雪寶)玩樂的趣事,短片也特別找來原版配音員Josh Gad為雪寶配音。第一集《Fun With Snow》內容講述雪寶將雪球高高地拋入了Arendelle 的森林中,更意外地將小型雪人拋出,他在空中飛舞,雪寶好像意識到發生了什麼,幸好小型雪人安好無恙地跑回來,之後他們便開心地玩了起來。,Hyrum Osmond和Josh Gad都是在家完成這部短片的製作。目前尚未知迪士尼動畫公司會多久發行一次短片,但迪士尼在 Twitter 上稱《At Home with Olaf》為新的系列,因此預計未來還會推出更多集數。

網上直播重溫: https://www.rthk.hk/radio/radio2/programme/KnowledgeCo/episode/676861

 

 

Leave a Comment

Your email address will not be published.