为防疫而出现的“在家工作”风潮,让视频会议平台Zoom声名大噪,树大招风的结果,是让不同的组织前仆后继地查看该平台的安全及隐私,继科技媒体Motherboard纠出Zoom移动程序擅自与脸书分享用户信息、非营利组织Consumer Reports披露Zoom在云计算存储了用户的开会内容之外,另一媒体The Intercept本周则说,Zoom的“端对端加密”口号只适用于文本通信,并不适用于通过该平台传递的视频与音频。
Zoom在安全白皮书中叙述,会议主持人可激活端对端(end-to-end,E2E) 的加密会议。端对端加密的定义为用户之间传递的是加密消息,且彼此只有通过密钥才能解密这些消息,平台或许能访问这些加密消息,却无可解密的密钥。
然而,The Intercept指出,Zoom的会议中只有文本传输才真的使用端对端加密技术,视频与音频的传输只是通过TCP与UDP进行加密,代表只有传递时的流量是加密的,但Zoom依然可访问未加密的视频与音频。
其实根据约翰霍普金斯大学密码暨计算机科学教授Matthew Green的看法,在群组视频会议中要进行端对端加密是困难的,因为平台必须扮演总机的角色,随时侦测及切换发话人与受话人,在未加密的状态下较容易进行优化。
Green向The Intercept解释,要在群组视频会议中执行端对端加密并非不可能,例如苹果的FaceTime的群组通话功能便支持端对端加密,这是可行的,只是不容易。
其实Zoom发言人也向The Intercept坦承,目前要在Zoom视频会议中激活端对端加密是办不到的。
总之,结论是Zoom卖弄了可能误导用户的营销手法,让外界以为该平台上所有会议内容的传递都是端对端加密的。