FP experimenter Linda Chiu-han Lai follows her own footprints in using and struggling with Zoom (or not to Zoom) since mid-February, and turns that into an extended reading report to situate her thoughts.
提筆寫已是三個星期前的事。有關 Zoom 的激烈討論至今已冷卻,忽又聽聞中學生要求罷用 Zoom作網上學習。所以這個算是用自己的經驗寫個讀書報告吧。記述曾有過這些思考多於要全盤辯說。或許吧。
今年二月以來,為了居家而不停擺,教育界從小學到大專紛紛採用網上教學去維持「教」與「學」。短時間內,微具知名度的小公司 Zoom 成為了人人掛在口頭的溝通科技名詞。要繼續工作,繼續營運,戰勝隔離的焦慮,一只手機便行。Zoom 的視頻服務的盈利標升,成為 COVID-19大疫情下的大贏家。瘋傳之際,公司處理數據的問題亦迅速惹來各種議論,尤其客戶視頻會議訊息被轉移到位於大陸的終端機被揭發後。
設身來說,二月中以來,家裡的互聯網絡的數據載力受到考驗。兩個從事教育和藝術的家庭成員必須依時間表即時同步教學外(註:我任教的大學早已宣佈正式全個學期以網上教學取代面對面的課堂授課),我們還用 Zoom 開不同的大小工作會議,舉行座談會、工作坊,我還遠洋參加了在紐約市一個畫廊的藝術家公開視像討論會,不得不好好編排時間啊。
回來說大熱的 Zoom。
Zoom 是美國加州為基地的公司。直到今年3月30日止,該公司的股值飆升至超過400億美元。[1] 享用免費的 43 分鐘的雲端服務的用者固然不斷增加,付款的註冊用戶也不例外,只是公司一直不肯透露後者的實際數字,同時強調絕不在意發 COVID-19 的財。
Zoom 引來眾多爭議,所牽涉的是那些問題?看來都和監控和我們進一步被商品化有關,具體來說,指向程序建築上整體的保安漏洞。例如:
(1) 設立或主持會議的人(例如老師)可以知道與會者是否全程參與,又或者局部遊魂或短期(30秒)缺席。這是服務給設立會議的人的選擇,可參與者不一定會被通知。若主會人擁有這類特權,她/他最好是你信任的人吧。
(2) Zoom 的行政操作人員 — 包括機構層面用 Zoom 的(內部)管理者。例如一所大學全民使用 Zoom,管理者可以透過我們使用服務時查閱我們的電腦數據,如 IP 地址、地區以至我們所使用的硬件的資料。對此,我們大概不以為意,都習慣了,避無所避。 這就是說,在 Zoom 的世界裡,我們都忽然變得比平常分外透明。
(3)Zoom 會議的管理者的「特權」,還包括對會議的紀錄。他們不但可以錄音錄影,取得文字版,還可以永久雲端儲存,讓公司內的其他用者取閱。例如你把錄像記錄功能關掉的話,就不難惹來(內部)管理者的注意。
(4)據美國的科技服務公司 Motherboard 的報導,Zoom 會把用戶的數據與 Facebook 分享,即使你沒有 Facebook 戶口也不例外。只要你打開 Zoom 的應用程式,你的手機型號、使用時地、流動通訊服務供應商,甚至手機與 Facebook 接連的廣告ID,都可被查看,方便對標銷售的廣告活動。3月27日,Zoom 出公告說已截停向 Facebook 輸送用者數據。看來 Zoom 反應迅速,可是問題還在於 Zoom 當初並沒有在私隱及資料保護條款中提到這些安排。那麽,還有甚麼是沒有告訴我們的?
(5)點對點的加密未做好,導致視像會議可被黑客闖入,用戶密碼外洩。(下文繼續討論)
(6)各種問題的揭露,最令人心寒的,是用戶資料和會議內容會被局部折流到位於中國大陸的伺服器。[15],據加拿大多倫多大學網路研究機構「公民實驗室」(Citizen Lab)指出,Zoom 使用了一種非標準的加密方式,向中國傳輸加密資訊。[6](註:去年九月期間,中國官方發佈Zoom 在中國被封停。)個人私密,還是不要在線吐露。
以上的問題被揭發後,Zoom 作出過一連串「修正」。從積極方面看,我們生存於數據時代之道就是第一時間發聲,發揮市民、網民和良知使用者的基本責任。
直接了當的問:「Zoom 會售賣用者的個人數據去牟利嗎?」
由最初的支吾以對含糊其詞,公司發言人終於在3月29日說:「Zoom 不售賣個人資料。」說沒有,那麼他們使用 Google Ads 或 Google Analytics這些標準工具又怎樣算?Zoom 沒有直接售賣我們的個人數據,卻和眾多同類的公司一樣,避免不了涉及向第三者的「分享」的嫌疑 – 分享、評估了,然後以另一種的方式作市場銷售。[1] 處理大量個人資料的Zoom同時也與廣告機構關係親密,怎讓人不擔心?
自 Motherboard 揭發 Zoom 向FB輸送用戶資料後,今年3月30日,美國加州聖荷西 (San Jose) 有法律代表證實曾向法庭要求起訴 Zoom Video Communications Inc.,尤其公司如何違反了加州的「消費者私隱法」(Consumer Privacy Act),過程中亦引用了 Motherboard的報導。[3] 4月8日,Zoom 的股份持有人 Michael Drieu 告 Zoom 因虛報點對點的安全密碼保護以及疏漏的安全和私人說明,導致市值大跌,令股東蒙受損失。不難想像,Google 在這時候趁機作出反擊,皆因自COVID-19成就了Zoom以來,後者成為自己生產的 Google’s Hangout Meet app. 的勁敵。Google已內部電郵僱員,禁止在公司擁有的通訊設施上使用 Zoom,指出後者的安全漏洞配不上Google的安全標準。[4]
接著,是一連串呼籲放棄Zoom的國際級機構:
04.08: 台灣行政院教育部宣布禁止政府機構和各級學校使用 Zoom [16]
04.09: 美國眾議院 (US Senate):針對視像記錄的程式在保安上的漏洞,呼籲議員避用 Zoom,尋求別的平台。[4]
04.09: 新加坡教育部 (Ministry of Education) 全面禁止教師使用 Zoom。黑客亂闖,造成不雅行為侵略視像會面中的教育活動,事件正在調查中。[4]
04.09: 德國外交事務部 (Ministry of Foreign Affairs) [4]
還有澳洲、加拿大等政府部門,不能盡錄。
「後門」關不好(見上第5點),從中取利者當然少不了黑客們。根據 Motherboard 的報道引用的資料來源,安全及私隱漏洞讓他們不單無本生利,更用「零」時間斬獲鉅款,售賣盜取得來的數據之所得,一次過可高達 5000 到 30000美元。[4]
誰在盜錄?誰在偷看?
進行國家數據保護問題調查的德國安全研究員 Mike Kuketz 指出,Zoom 的保安漏洞早在2019年的夏天已被發現。據稱,公司系統容讓侵略者接觸幾百萬的Mac 蘋果用戶電腦上的攝像頭(或網絡攝像機 /webcams);簡單來說,就是黑客可以透過個別電腦的攝像頭窺看我們。騙人入局的點子,是用藉口吸引用戶訪問侵略者準備好的網站,或者在他們訪問過的網站上嵌入代碼以發起視頻聊天。用戶因此加入了他們不想參與的縮放視頻聊天。換句話說,黑客可以通過相機對其進行監視。即使在用戶已經卸載了 Zoom 軟件之後,監視還是有可能的;因為 Zoom 在 Mac 電腦上安裝了未記錄的本地 Web 服務器,即使卸載了實際的應用程序,本地Web伺服器仍存留在計算機上。Zoom 確是作出了一些調整,但後來還是靠蘋果作出對應調整問題才得以解決。IT 群體往後對 local web server 存留這「秘密」仍是抱不少疑惑 — 如果 Zoom 已經將這種不安全的機制滑入了其軟件中,它還會嘗試別的甚麼?這些疑問於 2020年1月再由 IT 科技公司 Check Point Research 提出,其報導指出 Zoom 的另一漏洞是可讓黑客不請自來參與你設立的會議,旁聽,還可以讀你會議中分享的檔案。Zoom 強調這問題已克服。或許是,但負責測試檢查的 The Verge (一所美國的網上科技消息平台)強調他們同類的測試的範圍並沒有包括 Google Hangout 或 Skype 等服務在內。[1] 看來,Zoom 以外,要留神的還多著呢。信任的問題,還是問題。
疑問。「即時把關」。
至於我的同事們提出過的疑問,除了大圍的網絡安全問題外,特別關心的,是機構性採用 Zoom 時,機構用戶的把關管理者的看似無限的操縱權,尤其機構內部對錄像檔案的使用、轉移和儲存問題。(見上述的2、3兩點)這個比 Zoom 或同類服務提供者對(我們的)雲端視像資訊持續的無定界的擁有權更直接。
談到「另類」選擇,有IT訓練的人說或可選用 BigBlueButton (BBB)。它是一個開源 (open source) 的Web會議系統,原代碼 (source code) 基於 GNU / Linux 操作系統,其服務器可在64位(64 bit)Ubuntu 16.04 上運行。可是大部分的消費者用的OS不是PC便是Mac,若要使用BBB,便需要作為虛擬機 (virtual machine, VM)下載 – VMware Player和VirtualBox(PC和在PC和Unix / Linux計算機),或 VMWare Fusion(Mac)中運行 。對另一些比較講求效率的同事,Zoom固然有漏洞,但對於一班有超過100個學生的老師來說,Skype 或Hangout確實不濟用。例如前者會搞累了主持人(老師),把學生一個一個的「請進」費時失事。再說,若 Zoombombing是問題,Skypebombing絕對可以發生。
在「Zoom 與不 Zoom」已不再是個人選擇的問題時,該如何在應急之際 「即時把關」?如何抵擋 Zoombombing 侵略?有IT見識的朋友的一些心得還是值得參考的:
一,在瀏覽器 (browser) 裡開 Zoom 比直接打開 Zoom 較為安全。用手機進行視像會議看來較不安全。
二,如在 Windows 使用 Zoom 的話,切勿點擊 chat box 內的接連鏈。[5]
三,不在線會議時,把攝像頭蓋上。
四,切勿把你將參與的會議、課堂的 ID 和 password 向無關人士洩露,也不在公開的社交平台貼示。最易出現的情況是有人在網上用 Google 瀏覽,尋找 “zoom.us” 的 URLs然後找到你開的 event ID,就這樣,輕而易舉。所以小心你的社交網站有沒有漏風。
五,把安全私隱有漏洞的憂慮向學生和與會人士直接指出,讓各方仍可在信任的態度下作短期內的定期網上溝通。
六,善用 Zoom 本身的選項,識別有用或不必的功能,作出明智決定,不要貪方便,如錄像露面或不露面,誰可以露面,決定要不要參與者用 Annotation 參與溝通,chat box 內容會否儲存為文字檔案,視像會議的講話要不要錄製(transcribe) 成文字版,分享桌面的權與限,會議開始時,設定聲音播放,尤其以「關咪」為基本步等。[7][8]
7,設立會議時,不要分享你的個人會議 ID,為每次會議設立不同的隨機ID,如果有需要,設立 “Waiting Room”,讓自己有機會先查看參與者是否你期待中的人。
不錯。以上的措施會把我們帶回到上述的會議招集人權利大過天的情況。請記住,這裡我關注的是緊急時期的救生安排。能夠有不同聲音參與「督導」,還未算絕路。(二之一完/待續)
updated 11:03am, 20 April 2020
===
讀過的文章Reference:
(1) Meike LAAFF: “Ok, Zoomer”, in: ZEIT Online (2020.03.31)
(2) Zoom Lets Attackers Steal Windows Credentials via UNC Links (2020.03.31)
(3) Joel Rosenblatt: “Zoom Sued for Allegedly Illegally Disclosing Personal Data”
https://www.bloomberg.com/news/articles/2020-03-31/zoom-sued-for-allegedly-illegally-disclosing-personal-data (2020.03.31)
Notes: 案件資料為 Cullen v. Zoom Video Communications, No. 20-cv-02155, U.S. District Court for the Northern District of California (San Jose)
(4) Zoom: Every security issue uncovered in the video chat app
https://www.cnet.com/news/zoom-every-security-issue-uncovered-in-the-video-chat-app/
(5) Lawrence Abrams: “Zoom Lets Attackers Steal Windows Credentials, Run Programs via UNC Links” in BleepingComputer (2020.03.31)
(6) Wikipedia: “Zoom Video Communications” https://en.wikipedia.org/wiki/Zoom_Video_Communications
(7) “6 Tips to Deter Zoom-bombers in times of disruption”
https://semo.edu/it/guides/pdf/Tips2DeterZoomBombers.pdf
(8) Rae Hodge: “Prevent Zoombombing: Change these 4 Zoom settings now for secure video chat” c|net (2020.04.08)
(9) 羅冠聰: 「台灣教育部禁止使用 Zoom 香港教育局以及各所大學呢?」,《立場新聞》2020年4月11日。
(10) Li Yuan: “China’s Soft-Power Failure: Condemning Hong Kong’s Protests”; New York Times 20 Aug 2019.
https://www.nytimes.com/2019/08/20/business/china-hong-kong-social-media-soft-power.html
(11) Peter Wood: “China’s Pernicious Presence on American Campuses”; The Chronicle of Higher Education 26 Feb 2018.
https://www.chronicle.com/article/China-s-Pernicious-Presence/242640
(12) Drew FitzGerald and Kate O’Keeffe: “U.S. Allows Google Internet Project to Advance Only if Hong Kong Is Cut Out: National-security concerns had held up approval of 8000-mile line from Los Angeles to Hong Kong”; The Wall Street Journal, 8 April 2020.
(13) Joel Khalili: “Google approved to trigger undersea internet cable from US to Taiwan: US regulators fear submarine web cable could jeopardise national security”; Techradar, 10 April 2020.
https://www.techradar.com/news/google-permitted-to-trigger-undersea-web-cable-from-us-to-taiwan
(14) Chan Ho-him: “Secondary students planning protest to stop Hong Kong schools using Zoom app for on-line teaching”; South China Morning Post, 10 April 2020.
(15) Micah Lee: “Zoom’s Encryption is ‘not suited for secrets’ and has surprising links to China, researchers discovered”; The Intercept, 3 April 2020.
(16)「台灣禁學校用Zoom 建議用這6個視像會議軟件取代」《香港經濟日報》,4月8日:
http://floatingprojectscollective.net/seriously-speaking/rr02-zoom-moreqs/