整理本文的原因是:近期有收到中国大陆主内弟兄姊妹反馈 在ZOOM线上聚会时,Zoom帐号多次被封的问题。
特别是通过微信分享Zoom帐号时,需要给大家一些提醒:微信会对所有用户的信息进行AI(人工智能)自动审查。除了文字外,即使是图片(有时候图片旋转 180度,90度,可能会躲开OCR示别)、语音、视频,压缩文件(压缩文件加密后,可躲开审查。)都会被筛查。 当触发AI自动审查条件后,可能会被自动屏蔽(你发给了对方的信息,对方可能没有收到,但你也不知道对方是否有收到),或者人工介入审查(当收到AI 触发待人工审核通知消息提示时,如果内容有违规,建议马上删除,以防止被封号)。
Zoom发展背景
Zoom是由移民到美国的中国软件工程师袁徵在2011年创办的,袁徵出生于山东,在中国完成硕士学位后于1997年到美国就职于WebEx公司,期间发展视频会议软件。
2007年,思科(Cisco)以32亿美元的价格收购WebEx公司。
袁徵2011年创办了Zoom远程会议软件公司,因为Zoom的一些简单容易使用的功能,包括变换会议背景的设置,其市场逐渐超越对手Skype和Microsoft Teams。
一开始的时候,许多投资人怀疑市场上不需要多一个远程会议通讯软件,因为微软和其他的知名大品牌已经在做了。但是袁徵相信有这个市场需求,他相信人们需要更简单容易使用的远程会议软件,尤其是用手机也能使用的视频通话软件。
使用Zoom不需付费,但基本款限制三人以上参加的会议最长只能有40分钟,但现在在肺炎疫情下,该公司已经暂时取消这个时间限制,好让学校能够让在家学习的学生进行线上教学。免费使用,使得Zoom迅速占领教育市场。以前从来不接触远程会议软件的人现在也开始下载使用。
安全纪录
Zoom过去曾经有过许多不好的安全纪录,包括会议参与者可能会受到网络攻击而离开会议,使用者收到虚假信息,屏幕分享出去后遭到绑架劫持,甚至还有使用者在不知情的情况下参与会议。
这些安全问题后来都得到修补,但一些专家仍然存有疑虑。
网络谘询顾问克鲁利(Graham Cluley)表示:「Zoom过去安全纪录毁誉参半,有些问题值的使用者深思,Zoom是否认真对待用户的安全和隐私。」
他说,现在许多人是刚开始使用Zoom,也许并没有充分了解这个软件,也不知道怎样才是最安全的设置,很多人根本没有详细閲读使用条款和免责说明就全盘同意,到时候出现隐私和安全性问题就很难找到人来负责。
本文对业内人士也许有更多的易读性,我在此大致描述一下Zoom是如何的拙劣:
1、它使用了业内公认有显著缺点的加密方式:在ECB模式中使用AES-128。
2、混淆真正的”端对端加密”概念。业内公认的端对端加密E2E,没有中间人,可以理解为:A和B说暗号,真正的E2E模式,只有AB拥有密码本,资讯也只在AB之间流通。而Zoom的所谓端对端,是A和Zoom伺服器之间加密;再Zoom伺服器和B之间加密;意思是AB的密码本在Zoom伺服器那里也有一份,这份密码本还是由Zoom伺服器负责发放的,Zoom伺服器有6个在中国! 即使AB是北美人,也可能由位于中国的Zoom伺服器传输数据与密匙,细思极恐。
3、Zoom山寨RTP协定,而RTP协定中每个数据包具有的用以指示数据顺序的”类似值”,Zoom全部标为0! 它另外找了个地方标顺序,结果被研究人员找出并顺利解码。呵呵,好比要山寨苹果手机,却特意把充电孔放在侧边,还装了个安卓接头! 又是熟悉的味道。
4、用单一的AES-128密匙,同一个会议室所有人都用同一个密匙,除非加入全新的空会议室。意思是只要破解出席者任一个人,整个会议都会被拦截。 Zoom声称没办法偷偷添加人进入会议室,那在会议结束时密匙更新前那几分钟潜入即可,又是一个大漏洞。
5、其他的一些问题,如暗示不用TLS实际上却用TLS、安全政策不透明、等待室功能不安全等等。
概览ZOOM会议软件的保密性
该报告试验了目前流行的电话会议应用程式Zoom中用以保护会议隐私的加密性。我们发现Zoom已经”推出了自己的”加密方案,这有很多显著缺点。此外,我们发现了Zoom基础架构中值得关注的潜在领域,包括观察会议加密密钥在中国的传输情况。
主要发现
Zoom以文字形式声称该应用在可能的情况下为会议使用” AES-256″加密。但是,我们发现在每次Zoom会议中,所有出席者都以ECB模式使用单个AES-128金钥来加密和解密音讯和视频。不建议使用ECB模式,因为在加密过程中会保留纯文本模式。
- 我们验证的AES-128金钥足以解密网路流量中截获的Zoom资料包,它似乎是由Zoom伺服器生成的。在某些情况下,即使所有出席者以及Zoom订户的公司都在中国之外, Zoom也会通过中国的伺服器传递数据。
- 总部位于硅谷的Zoom公司似乎在中国拥有3家公司,通过这些公司,至少有700名员工获得了开发Zoom软体的酬劳。这种安排表面上是一种利用劳动力价值差套利:Zoom可以避免在向美国客户出售产品时支付美国标准的工资,从而提高了他们的利润率。但是,这种安排可能会使Zoom必须应对中国当局的压力。
隐私隐忧?
Zoom远程会议软件收集大量资料用于分析其服务,并提供企业可用参考。
电子边境基金(Electronic Frontier Foundation)对其安全问题进行研究,得出以下几点结论:
- 在屏幕分享情况下,会议的主持人能够监看参与者的活动,能够得知Zoom视窗是否活跃或待机中。
- 管理员能够掌握使用者的详细活动资料,包括会议时间的排名顺序。
- 如果有使用者录音或录影会议过程,管理员也能读取其会议内容。
- 在会议进行期间,管理员能够看到每个会议参与者的操作系统,IP地址,关于地点的信息和装置的信息。
虽然有这些隐私隐忧,但在肺炎疫情迫使人们隔离在家的情况下,人们似乎并不在意分享这些个人信息。
Zoom的主要投资者高瓴资本。
该公司总部位于北京,由中国公民张磊创立。该公司拥有Zoom近十亿美元的股份,几乎占该投资集团全部投资组合的10%。 高瓴资本曾经拥有Zoom超过12%的股份,但最近出售了一部分股份,其持股减少了2%以上。但其仍然是Zoom十大投资者之一。
美国国防部和参议院,已经因为安全的担忧,限制使用Zoom。其理由十分充分:Zoom将非中国用户的数据重新路由到中国,且绝大多数需使用来自中国服务器的加密密钥。
内部信息:Zoom当时有7000多个bug,完全就没法支撑、钱都没有的情况下、没人理的情况下,国家战略方面的批示,马上成立了专案小组…
Zoom的真实背景,第一,几乎普及世界90%的教育机构;第二,普及全世界的法院现在达到86%;第三,全世界的500强企业达到1/5,现在已经达到了60%,普及各国政府视频会议系统到10~15%,现在是普及70%。然后,军事部门计划普及5%,现在普及25~30%。zoom在2019年到2020年病毒期间,是病毒最大的收益者达2200亿美元。
https://www.bbc.com/zhongwen/trad/world-52084882
https://zhuanlan.zhihu.com/p/125565390
总结:Zoom是中国 国家安全部和政法委支持的平台。没有安全可言。
推荐在中国大陆使用的会议软件:
Slack
https://slack.com
Slack是由Slack Technologies所开发的一款基于云计算的即时通信软件,现属赛富时所有。Slack这个词其实是一个缩写,意思是“所有可搜索的会话和知识日志”。 用户可以在私人聊天室或名为“工作区”的社区内通过文本消息、文件和媒体、语音和视频通话进行交流。在中国大陆使用免翻墙,受到在华跨国公司的喜爱。
这家公司的背景:已被Salesforce 公司收购。Salesforce 公司管理层的政冶倾向:美国左派 ,支持同性恋。
Skype
Skype是一款即时通信应用软件,可通过拥有连接互联网的系统设备包含手机、平板电脑等提供与其他联网设备或传统电话/智能手机间进行视频通话和语音通话的服务。用户可通过Skype收发即时通讯信息,传输文件,收发多媒体信息,进行视频会议。在中国大陆使用免翻墙,属于微软旗下老牌软件,可免费使用!
Discord
Discord是由美国Discord公司所开发的一款专为社群设计的免费网络实时通话软件与数字发行平台,主要针对游戏玩家、教育人士、朋友及商业人士,用户之间可以在软件的聊天频道通过讯息、图片、视频和音频进行交流。己知:安全性和稳定性最好,在中国需要翻墙才能使用(可能是采用了CDN加速技术,在通话过程中关闭VPN仍可以直常语音通话使用)。中国手机号注册帐号相对较复杂,但可以直接在第三方购买成品帐号(如有需要我可以批量提供Discord帐号,以解决大陆用户注册难问题)。
Telegram/电报
Telegram-zh_CN 简体中文语言包:https://t.me/setlanguage/classic-zh-cn
Telegram是跨平台的即时通信软件,其客户端是自由及开放源代码软件,但服务端是专有软件。用户可以相互交换加密与自毁消息,发送照片、影片等所有类型文件。官方提供手机版、桌面版和网页版等多种平台客户端;同时官方开放应用程序接口,因此拥有许多第三方的客户端可供选择。
电报也有会议功能,但开手机外放的声音较小,可带耳机加入会议。当您在电报加好友时,需要开放通讯录权限,这时电报就获得了您所有的手机通讯录。 当您在更改一个好友的备注名称时,间接就帮助电报数据库更新了对应手机号码的真实姓名或昵称信息。 这是要注意的隐私泄漏问题。
Letstalk (台湾)
Letstalk 是一个免费、简易又安全可靠的通讯应用程式,除了能透过文字、照片、影片、语音与档案等方式进行交流,更可使用多层次的设定保障隐私安全。经过不断的创新与优化,至今企业与个人用户已遍及全球。免翻墙,大陆的台湾教会较多使用。
webEX
思科WebEx是一家美国公司,负责开发和销售网络会议和视讯会议应用程序。它成立于2007年,当时思科系统公司收购了Webex。 其总部位于加利福尼亚州米尔皮塔斯。
第二种选择:自己搭建在线小型会议系统
开源在线视频会议系统:https://jitsi.org/
缺点:对服务器要求较高,详见文章:腾讯会议替代品!10分钟搭建一个开源视频会议项目——Jitsi | 好玩儿的Docker项目